警告：新的虛假 GitHub 交易機器人正在抽取 Solana 錢包

網路安全公司SlowMist發出警告，稱一名用戶通過下載看似合法的Solana交易機器人而失去了他們的虛擬幣資產。這個名爲"solana-pumpfun-bot"的項目聲稱幫助用戶在Pump.fun這個Solana生態系統中流行的平台上交易代幣。但相反，它卻掏空了用戶的錢包。 量化機器人無辜於一個危險的轉折 用戶從GitHub下載了開源機器人，運行它後，他們的錢包被清空。乍一看，該項目看起來正常。它有星標、分支，甚至還有最近的提交。 該項目是一個包含隱蔽依賴項的 Node.js 應用程序 - 一個從自定義 GitHub URL 連結的包，而不是官方 NPM 註冊表。這使得惡意包能夠繞過 NPM 的安全檢查，從而使檢測變得更加困難。 安裝後，代碼將掃描受害者的系統以尋找錢包數據，並將他們的私鑰發送到攻擊者控制的遠程服務器。 爲了看起來安全，攻擊者使用了假冒的GitHub帳戶來復制和分支項目，給它一種被廣泛使用的外觀。但是根據SlowMist，整個代碼庫是在三周前上傳的，這是明顯表明有問題的跡象。 在一條推文中，SlowMist 解釋道： “罪犯將惡意程序僞裝成一個合法的開源項目……用戶無意中運行了一個嵌入有惡意依賴項的 Node.js 項目，導致私鑰泄露和資產損失。” 重要警告給開發者和交易者 SlowMist建議用戶永遠不要盲目相信GitHub上的項目，特別是那些要求訪問錢包或處理私鑰的項目。如果您需要檢查這樣的工具，請在沙盒環境中進行，而不是使用您的真實資產。 研究小組警告："如果您必須測試它們，請在隔離環境中進行，使用沙盒並且沒有敏感數據。" 這爲什麼重要 隨着越來越多的交易者和開發者依賴於虛擬幣資產領域的開源工具，這類攻擊變得越來越難以被發現。 這裏的關鍵點非常簡單：如果一個與您的錢包相關的GitHub項目，請將其視爲高風險項目！