PANews는 7월 3일 SlowMist 보안팀에 따르면, 7월 2일 한 피해자가 전날 GitHub에 호스팅된 오픈소스 프로젝트인 zldp2002/solana-pumpfun-bot을 사용했다고 주장했으며, 이후 암호화된 자산이 도난당했다고 보도했습니다. SlowMist 분석에 따르면, 이 공격에서 공격자는 합법적인 오픈소스 프로젝트(solana-pumpfun-bot)로 위장하여 사용자들이 악성 코드를 다운로드하고 실행하도록 유도했습니다. 사용자는 프로젝트의 인기를 끌어올리겠다는 명분으로, 악성 종속성이 포함된 Node.js 프로젝트를 아무런 예방 조치 없이 실행했고, 그 결과 지갑 개인 키가 유출되고 자산이 도난당했습니다. 전체 공격 체인은 여러 GitHub 계정을 동시에 운영하여 유포 범위를 확대하고 신뢰도를 높이며, 매우 기만적인 특징을 보입니다. 동시에 이러한 유형의 공격은 사회 공학적 공격과 기술적 수단을 모두 사용하며, 조직 내에서 완벽하게 방어하기는 어렵습니다.

SlowMist는 개발자와 사용자가 알려지지 않은 GitHub 프로젝트, 특히 지갑이나 개인 키 작업과 관련된 프로젝트에 대해 각별히 주의할 것을 권장합니다. 실행 및 디버깅이 꼭 필요한 경우, 민감한 데이터가 없는 독립적인 머신 환경에서 실행 및 디버깅하는 것이 좋습니다.