自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
20.00% 80.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

"GitHub惊现针对Solana投资者的钓鱼机器人…私人钱包密钥泄露警报拉响"

2025-07-04 19:34:30
收藏

加密货币开发者和投资者成为新型钓鱼攻击目标

网络安全公司SlowMist近期警告称,一种通过GitHub开源社区传播的新型钓鱼骗局正在针对加密货币开发者和投资者。据披露,有Solana(SOL)用户因轻信自称"交易机器人"的恶意程序导致钱包资产被盗。

恶意程序运作手法

这款名为"solana-pumpfun-bot"的程序伪装成实用交易工具,实则暗中收集用户私钥并传输至黑客服务器。事件始于7月2日,受害者从GitHub下载运行该程序后,这个基于Node.js的应用程序通过定制GitHub URL隐藏外部恶意包,绕过NPM官方仓库的验证流程植入恶意代码。程序运行后会扫描计算机内的钱包数据,窃取私钥发送至黑客控制的远程服务器。

精心设计的信任陷阱

该项目通过星级评分、分支数和近期提交记录等表面特征营造可信度,但整个源代码实际是三周前才上传的新建项目。调查还发现攻击者动用大量虚假GitHub账号伪装成热门项目。

安全专家强烈建议

SlowMist在官方推文中强调:"攻击者正利用公开源代码伪装的新型恶意程序作案,即使看似正常的工具,若需私钥访问权限,务必在隔离环境验证后再使用。"

该事件表明针对开源生态系统黑客策略日趋精密。由于涉及加密货币钱包和私钥管理的项目成为重点目标,开发者和普通投资者都必须掌握源代码可信度验证方法。

行业专家警告,公开GitHub项目并非绝对安全区:"任何需要连接钱包或索取密钥的开源工具都应视为高风险。"此次事件再次提醒:数字资产的安全风险与复杂程度无关,而源于防范意识的松懈。

展开阅读全文
更多新闻