Hacken:一些诈骗者冒充项目方,诱导开发人员和审计人员下载可疑存储库

区块链安全机构Hacken在X平台发文称,他们最近发现了一种在Telegram和Linkedin等平台上流行的骗局。这种骗局针对加密行业的开发者和审计人员。具体来说,诈骗者在社交网络上找到提供技术服务的人员,并以合法项目的名义说服他们下载存储库。然而,存储库中的代码包含一个不稳定的“npm run”命令,执行这个命令可能会危及用户的文件系统。这种方法与以前涉及欺骗性zip文件和PDF的骗局类似。为了加强对这种策略的防御,可以考虑以下措施:保持谨慎,特别是在下载存储库时,尤其是当来自不熟悉的源时;使用Semgrep或CodeQL等工具仔细检查存储库代码,建立已定义规则以确保其在本地执行时的安全性。
相关推荐