Chiudi menu
    venerdì, Luglio 4
    Tendenze
    Mercato delle criptovalute

    Falso bot di trading Solana su GitHub utilizzato per rubare criptovalute

    Raj PatelDa 2 min di lettura

    Falso Bot di Trading Solana su GitHub Utilizzato per Rubare Criptovalute

    Un repository GitHub fraudolento, spacciato per un legittimo bot di trading Solana, è stato recentemente smascherato per aver distribuito malware progettato per rubare le credenziali dei portafogli di criptovalute. L’azienda di cybersecurity SlowMist ha scoperto la truffa, gettando luce sui rischi degli attacchi alla catena di approvvigionamento software nel settore delle criptovalute.

    Come Funzionava la Truffa del Bot Solana

    Il repository malevolo, chiamato solana-pumpfun-bot e ospitato dall’account “zldp2002,” imitava un autentico strumento open-source per raccogliere le credenziali degli utenti. Nonostante l’elevato numero di stelle e fork, che suggerivano credibilità, SlowMist ha identificato incongruenze nei commit del codice e l’assenza dei soliti modelli riscontrabili nei progetti autentici.

    La Minaccia dei Pacchetti Malevoli

    Il progetto basato su Node.js si affidava a un pacchetto di terze parti, crypto-layout-utils, precedentemente disponibile sul registro ufficiale NPM ma successivamente rimosso. Tecniche di offuscamento rendevano il pacchetto difficile da analizzare. Dopo l’offuscamento, i ricercatori hanno confermato la sua funzione malevola: scansionava i file locali alla ricerca di dati relativi ai portafogli o chiavi private e li trasmetteva a un server remoto.

    Fatti Chiave Sulla Truffa delle Criptovalute su GitHub

    • Il repository fraudolento è stato rimosso dopo la scoperta.
    • Il pacchetto malevolo è stato recuperato da un repository GitHub alternativo dopo la sua rimozione da NPM.
    • Attacchi simili hanno recentemente coinvolto estensioni di portafogli falsi che prendevano di mira gli utenti di Firefox.

    Approfondimento Esperto sulla Sicurezza delle Criptovalute

    “Questo incidente evidenzia la necessità di una verifica accurata degli strumenti open-source prima del loro utilizzo”, ha consigliato un portavoce di SlowMist. “Gli utenti dovrebbero esaminare attentamente la cronologia dei commit e l’attività dei contributori per identificare potenziali segnali di allarme.”

     

    Investigatore di Smart Contract
    Raj è specializzato nell'analisi di protocolli DeFi, nell'audit di smart contract e nell'intervista ai principali sviluppatori del settore. Il suo lavoro si concentra su spiegazioni tecniche chiare, che aiutano trader e sviluppatori a comprendere rischi, innovazioni e opportunità nella finanza decentralizzata. Niente hype, solo analisi approfondite di codice ed economia.

    Articoli correlati

    CryptoMeshNews.com
    Powered by  GDPR Cookie Compliance
    Panoramica privacy

    This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.