【Hacken:有诈骗者冒充项目方诱导开发者和审计人员下载可疑存储库】12月2日消息,区块链安全机构Hacken在X平台发文表示,其团队最近发现了一类在Telegram和Linkedin等平台上兴起的骗局。值得注意的是,该骗局针对的是加密行业的开发者和审计人员。
具体而言,诈骗者在社交网络上专门找出提供技术服务的个人,以合法项目的名义说服他们下载存储库。在存储库中,代码里有一个不稳定的“npm run”命令。当执行时,它可能会危及用户的文件系统。这种方法与以前涉及欺骗性zip文件和PDF的骗局相似。
为了加强对这种策略的防御,可以考虑以下措施:
– 在下载存储库时保持谨慎,特别是当不熟悉的源提示时;
– 使用Semgrep或CodeQL等工具仔细检查存储库代码,建立已定义规则以确保其在本地执行时的安全性。
白话区块链|同步全球区块链资讯、区块链快讯、区块链新闻
本站所有文章数据来源:金色财经
本站不对内容真实性负责,如需转载请联系原作者
如需删除该文章,请发送本文链接至koinfts@gmail.com
