网络安全公司SlowMist最近透露，他们接到了一位用户的联系，该用户受到了一项恶意开源项目的影响，该项目在GitHub上看似是一个用于交易基于Solana的代币的Pump.fun机器人。

该用户下载并运行了一个看似无害的GitHub项目。没过多久，他们的钱包就被清空了。

这个虚假的项目是一个Node.js应用，依赖于一个从自定义GitHub链接下载的包。该包能够绕过NPM注册表的安全检查。这是攻击者的典型行为，他们往往将恶意代码隐藏在外部托管的包中，以避免被检测到。

热门故事 Ripple在令人惊讶的七月举动中解锁了500,000,000个XRP '富爸爸穷爸爸'作者对95%的美元崩溃发出警报 '买比特币'：Bitwise高管对Ray Dalio的警告作出反应 中本聪时代比特币钱包在14年不活跃后转移超过10亿美元

该包随后扫描了受害者的钱包以获取加密钱包信息。然后，它将私钥发送到由恶意行为者控制的服务器。

黑客通过使用虚假的GitHub账户伪造了人气，使其看起来值得信任。

SlowMist强调，用户绝不应盲目信任GitHub项目。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。