Odaily星球日報訊區塊鏈安全機構Hacken在X平台發文表示,其團隊最近發現了一類在Telegram和Linkedin等平台上興起的騙局。值得注意的是,該騙局針對的是加密產業的開發者和稽核人員。具體而言,詐騙者在社群網路上專門找出提供技術服務的個人,以合法專案的名義說服他們下載儲存庫。在儲存庫中,程式碼裡有一個不穩定的「npm run」指令。當執行時,它可能會危及用戶的檔案系統。這種方法與以前涉及欺騙性zip檔案和PDF的騙局相似。為了加強對這種策略的防禦,可以考慮以下措施: – 在下載儲存庫時保持謹慎,特別是當不熟悉的來源提示時; – 使用Semgrep或CodeQL等工具仔細檢查儲存庫程式碼,建立已定義規則以確保其在本地執行時的安全性。
dark
