Web3起点网GitHub热门Solana工具被植入恶意代码致用户资产被盗
7月3日,慢雾安全团队披露GitHub平台发现重大安全事件:知名Solana开发工具solana-pumpfun-bot被植入恶意代码,导致用户加密资产遭窃取。经分析,该工具利用恶意NPM包crypto-layout-utils与bs58-encrypt-utils扫描本地文件系统,检测到钱包私钥后自动上传至攻击服务器。攻击方通过操控多个GitHub账号提升项目可信度,并篡改NPM包下载链接规避官方审核机制。慢雾建议开发者审慎对待非官方渠道的代码工具,涉及钱包交互功能的项目应在隔离环境中进行安全验证。