【比推】Güvenlik ekiplerinin izlemelerine göre, 2 Temmuz'da bir mağdur, bir gün önce GitHub'da barındırılan açık kaynak projesi olan zldp2002/solana-pumpfun-bot'u kullandığını ve ardından kripto varlıklarının çalındığını bildirdi. Analiz sonucunda, bu saldırı olayında, saldırganların meşru bir açık kaynak projesi (solana-pumpfun-bot) olarak kendilerini gizleyerek kullanıcıları kötü amaçlı kod indirmeye ve çalıştırmaya ikna ettikleri tespit edildi. Projenin popülaritesini artırma bahanesiyle, kullanıcılar hiçbir hazırlık yapmadan kötü amaçlı bağımlılıklar içeren Node.js projesini çalıştırdı ve bu da cüzdanın özel anahtarlarının sızmasına ve varlıkların çalınmasına yol açtı. Tüm saldırı zinciri, birden fazla GitHub hesabının iş birliği ile gerçekleşti ve yayılma alanını genişletti, güvenilirliği artırdı ve oldukça aldatıcı hale getirdi. Aynı zamanda, bu tür saldırılar sosyal mühendislik ve teknik yöntemleri bir arada kullanarak, organizasyon içinde tamamen savunulması oldukça zor hale gelmektedir.
Geliştiricilerin, özellikle cüzdan veya özel anahtar işlemleriyle ilgili olduğunda, kaynağı belirsiz GitHub projelerine karşı dikkatli olmaları önerilir. Eğer hata ayıklama yapmanız gerekiyorsa, bunu ayrı ve hassas verilerin bulunmadığı bir makine ortamında gerçekleştirmeniz önerilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
22 Likes
Reward
22
6
Share
Comment
0/400
OnChainSleuth
· 07-06 11:28
Demek ki bu küçük botun imzasını kimse doğrulamıyor?
View OriginalReply0
LayoffMiner
· 07-06 01:27
Mining Ekipmanı evde paslanıyor
View OriginalReply0
RektDetective
· 07-04 12:30
又一个enayilerinsanları enayi yerine koymak了
View OriginalReply0
AltcoinMarathoner
· 07-03 12:09
kripto güvenlik maratonunda sadece başka bir kilometre taşı... dikkatli olun fam
View OriginalReply0
MetaverseLandlady
· 07-03 11:55
Oynayarak indirildiğini anlayacaksın, çalınmayı hak ediyorsun.
View OriginalReply0
CommunityWorker
· 07-03 11:50
Gidiyorum gidiyorum, bu botlara gerçekten dokunmaya cesaret edemiyorum.
GitHub kötü niyetli projeleri Solana Botlar'ını taklit ederek kullanıcıların şifreleme varlıklarının çalınmasına neden oldu.
【比推】Güvenlik ekiplerinin izlemelerine göre, 2 Temmuz'da bir mağdur, bir gün önce GitHub'da barındırılan açık kaynak projesi olan zldp2002/solana-pumpfun-bot'u kullandığını ve ardından kripto varlıklarının çalındığını bildirdi. Analiz sonucunda, bu saldırı olayında, saldırganların meşru bir açık kaynak projesi (solana-pumpfun-bot) olarak kendilerini gizleyerek kullanıcıları kötü amaçlı kod indirmeye ve çalıştırmaya ikna ettikleri tespit edildi. Projenin popülaritesini artırma bahanesiyle, kullanıcılar hiçbir hazırlık yapmadan kötü amaçlı bağımlılıklar içeren Node.js projesini çalıştırdı ve bu da cüzdanın özel anahtarlarının sızmasına ve varlıkların çalınmasına yol açtı. Tüm saldırı zinciri, birden fazla GitHub hesabının iş birliği ile gerçekleşti ve yayılma alanını genişletti, güvenilirliği artırdı ve oldukça aldatıcı hale getirdi. Aynı zamanda, bu tür saldırılar sosyal mühendislik ve teknik yöntemleri bir arada kullanarak, organizasyon içinde tamamen savunulması oldukça zor hale gelmektedir.
Geliştiricilerin, özellikle cüzdan veya özel anahtar işlemleriyle ilgili olduğunda, kaynağı belirsiz GitHub projelerine karşı dikkatli olmaları önerilir. Eğer hata ayıklama yapmanız gerekiyorsa, bunu ayrı ve hassas verilerin bulunmadığı bir makine ortamında gerçekleştirmeniz önerilir.