Perusahaan keamanan siber SlowMist telah mengeluarkan peringatan setelah seorang pengguna kehilangan aset kripto mereka dengan mengunduh sesuatu yang tampak seperti bot perdagangan Solana yang sah. Proyek yang bernama "solana-pumpfun-bot" ini mengklaim membantu pengguna dalam memperdagangkan token di Pump.fun, sebuah platform populer dalam ekosistem Solana. Namun, sebaliknya, ia telah menguras dompet pengguna.
Bot tidak bersalah dengan sebuah perubahan berbahaya
Pengguna telah mengunduh bot sumber terbuka dari GitHub, menjalankannya dan segera setelah itu, dompet mereka telah dihapus bersih. Sekilas, proyek ini tampak normal. Ini memiliki bintang, cabang, dan bahkan komitmen terbaru.
Proyek ini adalah aplikasi Node.js yang mencakup satu ketergantungan tersembunyi - sebuah paket yang terhubung dari URL GitHub kustom alih-alih dari registri NPM resmi. Ini memungkinkan paket berbahaya untuk melewati pemeriksaan keamanan NPM, membuat deteksi menjadi lebih sulit.
Setelah diinstal, kode akan memindai sistem korban untuk mencari data dompet dan mengirim kunci pribadi mereka ke server jarak jauh yang dikendalikan oleh penyerang.
Untuk terlihat aman, penyerang menggunakan akun GitHub palsu untuk menyalin dan membuat cabang proyek, memberinya tampilan yang digunakan secara luas. Namun menurut SlowMist, seluruh basis kode telah diunggah hanya tiga minggu yang lalu, ini adalah tanda jelas bahwa ada sesuatu yang tidak beres.
Dalam sebuah tweet, SlowMist menjelaskan:
"Pelaku kejahatan telah menyamarkan program berbahaya sebagai proyek sumber terbuka yang sah... pengguna secara tidak sengaja menjalankan proyek Node.js yang menyertakan ketergantungan berbahaya, mengungkap kunci privat dan kehilangan aset kripto."
Peringatan penting untuk pengembang dan pedagang
SlowMist menyarankan pengguna untuk tidak pernah mempercayai secara buta proyek-proyek GitHub, terutama proyek-proyek yang meminta akses dompet atau memproses kunci pribadi. Jika Anda perlu memeriksa alat-alat seperti ini, lakukanlah di lingkungan sandbox, bukan dengan aset kripto Anda yang sebenarnya.
Tim penelitian memperingatkan: "Jika Anda harus menguji mereka, lakukan di lingkungan yang terisolasi, memiliki sandbox, dan tanpa data sensitif."
Mengapa ini penting
Ketika semakin banyak trader dan pengembang yang bergantung pada alat sumber terbuka di ruang aset kripto, serangan seperti ini semakin sulit untuk dideteksi.
Inti dari sini sangat sederhana: jika sebuah proyek GitHub terkait dengan dompet Anda, anggap itu sebagai proyek dengan risiko tinggi!
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Peringatan: Bot Perdagangan GitHub Palsu Baru Sedang Menguras Dompet Solana
Perusahaan keamanan siber SlowMist telah mengeluarkan peringatan setelah seorang pengguna kehilangan aset kripto mereka dengan mengunduh sesuatu yang tampak seperti bot perdagangan Solana yang sah. Proyek yang bernama "solana-pumpfun-bot" ini mengklaim membantu pengguna dalam memperdagangkan token di Pump.fun, sebuah platform populer dalam ekosistem Solana. Namun, sebaliknya, ia telah menguras dompet pengguna. Bot tidak bersalah dengan sebuah perubahan berbahaya Pengguna telah mengunduh bot sumber terbuka dari GitHub, menjalankannya dan segera setelah itu, dompet mereka telah dihapus bersih. Sekilas, proyek ini tampak normal. Ini memiliki bintang, cabang, dan bahkan komitmen terbaru. Proyek ini adalah aplikasi Node.js yang mencakup satu ketergantungan tersembunyi - sebuah paket yang terhubung dari URL GitHub kustom alih-alih dari registri NPM resmi. Ini memungkinkan paket berbahaya untuk melewati pemeriksaan keamanan NPM, membuat deteksi menjadi lebih sulit. Setelah diinstal, kode akan memindai sistem korban untuk mencari data dompet dan mengirim kunci pribadi mereka ke server jarak jauh yang dikendalikan oleh penyerang. Untuk terlihat aman, penyerang menggunakan akun GitHub palsu untuk menyalin dan membuat cabang proyek, memberinya tampilan yang digunakan secara luas. Namun menurut SlowMist, seluruh basis kode telah diunggah hanya tiga minggu yang lalu, ini adalah tanda jelas bahwa ada sesuatu yang tidak beres. Dalam sebuah tweet, SlowMist menjelaskan: "Pelaku kejahatan telah menyamarkan program berbahaya sebagai proyek sumber terbuka yang sah... pengguna secara tidak sengaja menjalankan proyek Node.js yang menyertakan ketergantungan berbahaya, mengungkap kunci privat dan kehilangan aset kripto." Peringatan penting untuk pengembang dan pedagang SlowMist menyarankan pengguna untuk tidak pernah mempercayai secara buta proyek-proyek GitHub, terutama proyek-proyek yang meminta akses dompet atau memproses kunci pribadi. Jika Anda perlu memeriksa alat-alat seperti ini, lakukanlah di lingkungan sandbox, bukan dengan aset kripto Anda yang sebenarnya. Tim penelitian memperingatkan: "Jika Anda harus menguji mereka, lakukan di lingkungan yang terisolasi, memiliki sandbox, dan tanpa data sensitif." Mengapa ini penting Ketika semakin banyak trader dan pengembang yang bergantung pada alat sumber terbuka di ruang aset kripto, serangan seperti ini semakin sulit untuk dideteksi. Inti dari sini sangat sederhana: jika sebuah proyek GitHub terkait dengan dompet Anda, anggap itu sebagai proyek dengan risiko tinggi!