ข่าว 
ข้อมูลเหรียญ 
แนะนำสื่อ 
นักพัฒนาและนักลงทุนในวงการคริปโตตกเป็นเป้าของการโจมตีแบบฟิชชิ่งรูปแบบใหม่ ซึ่งกำลังแพร่กระจายผ่านชุมชนโอเพ่นซอร์สของ GitHub ตามรายงานจากบริษัทด้านความปลอดภัยไซเบอร์ชื่อ สโลวมิสต์(SlowMist) พบว่าผู้ใช้งานโซลานา(SOL) รายหนึ่งถูกหลอกให้ติดตั้งโปรแกรมซื้อขายปลอมที่แอบอ้างว่าเป็น ‘บอตเทรด’ ส่งผลให้ทรัพย์สินในกระเป๋าคริปโตของเขาถูกขโมยไป
เหตุดังกล่าวเกิดขึ้นเมื่อวันที่ 2 กรกฎาคม โดยผู้เสียหายดาวน์โหลดโปรแกรมที่มีชื่อว่า ‘solana-pumpfun-bot’ จาก GitHub และทำการติดตั้งลงในระบบ โปรแกรมดังกล่าวถูกพัฒนาด้วย Node.js และมีการฝังลิงก์ GitHub ปลอมไว้ลับๆ เพื่อหลีกเลี่ยงการตรวจสอบจากแพลตฟอร์ม NPM อย่างเป็นทางการ เมื่อถูกเรียกใช้งาน มันจะแสกนข้อมูลกระเป๋าคริปโตและขโมย ‘คีย์ส่วนตัว’ ก่อนจะส่งต่อไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์
กลลวงของบอตตัวนี้ยังรวมถึงการสร้างภาพโครงการให้ดูน่าเชื่อถือ ทั้งจำนวนดาว รีวิวยอดนิยม การถูกฟอร์ก (fork) หลายครั้ง รวมถึงการอัปโหลดครั้งล่าสุดที่ดูเหมือนมีการอัปเดตอยู่เสมอ อย่างไรก็ตาม สโลวมิสต์เปิดเผยว่า โค้ดทั้งหมดถูกรวบรวมขึ้นมาเพียงประมาณ 3 สัปดาห์ก่อนเกิดเหตุ และตัวบัญชีที่ใช้โพสต์โค้ดเหล่านี้ก็เป็นบัญชี GitHub ปลอมหลายบัญชีที่ตั้งใจใช้ในการหลอกลวง
สโลวมิสต์ได้โพสต์ผ่านทวิตเตอร์ เตือนผู้ใช้ว่า “มีมัลแวร์จริงหลบซ่อนอยู่ภายใต้ซอร์สโค้ดเปิดเผยจำนวนมากในตอนนี้ แม้โครงการจะดูเหมือนเครื่องมือที่ถูกต้องตามกฎหมาย หากมันจำเป็นต้องเข้าถึง ‘คีย์ส่วนตัว’ ของคุณ ขอให้ทดสอบในสภาพแวดล้อมที่แยกจากระบบหลักก่อนเสมอ”
เหตุการณ์นี้ตอกย้ำว่า กลยุทธ์ของแฮ็กเกอร์ที่มุ่งเป้าสู่ระบบโอเพ่นซอร์สนั้นซับซ้อนขึ้นเรื่อยๆ โดยเฉพาะโครงการใดที่เกี่ยวข้องกับกระเป๋าคริปโตหรือการจัดเก็บคีย์ส่วนตัว ล้วนตกอยู่ในกลุ่มเป้ายอดนิยมของผู้ไม่ประสงค์ดี *คำสำคัญ* อย่าง ‘การปกป้องคีย์ส่วนตัว’, ‘มัลแวร์โอเพ่นซอร์ส’, และ ‘การโจมตีแบบฟิชชิ่ง’ จึงกำลังกลายเป็นหัวข้อที่จำเป็นต้องรู้ทั้งสำหรับนักพัฒนาและนักลงทุน
*ความคิดเห็น:* ผู้เชี่ยวชาญในอุตสาหกรรมคริปโตต่างเตือนว่า แม้แต่โครงการโอเพ่นซอร์สที่เปิดเผยสาธารณะก็ยังไม่สามารถถือว่าเป็น ‘พื้นที่ปลอดภัย’ ได้อีกต่อไป พวกเขาเน้นว่าเครื่องมือใดๆ ที่เชื่อมต่อกับกระเป๋าเงินหรือร้องขอ ‘คีย์ส่วนตัว’ ควรถูกจัดอยู่ในระดับความเสี่ยงสูงเสมอ เหตุการณ์ครั้งนี้เป็นบทเรียนว่า ความเสี่ยงทางไซเบอร์ไม่ได้ขึ้นอยู่กับความซับซ้อนของเครื่องมือเท่านั้น แต่ยังมาจากความประมาทของผู้ใช้งานด้วยเช่นกัน
ความคิดเห็น 0