根据慢雾安全团队披露的信息，7月2日有一名用户反馈称，前一天使用了托管在GitHub上的开源项目zldp2002/solana-pumpfun-bot后遭遇加密资产被盗事件。经调查发现，攻击者伪装成合法的开源项目诱导用户下载并运行恶意代码，在刷高热度的掩护下，使用户在不知情中执行了携带恶意依赖的Node.js项目，最终导致钱包私钥泄露。 此次攻击涉及多个GitHub账号协同运作，增强了传播力和可信度，具有极强的社会工程欺骗性。攻击方式结合技术手段与心理诱导，即便在组织内部也难以完全防御。慢雾提醒广大开发者及用户务必提高警惕，对来源不明的GitHub项目保持谨慎态度，特别是在涉及钱包或私钥操作时更应加强防范意识。