Hacken:一些诈骗者冒充项目方,诱导开发人员和审计人员下载可疑存储库

12月2日消息,区块链安全机构Hacken在X平台发文指出,最近他们发现了一种针对加密行业开发者和审计人员的骗局在Telegram和Linkedin等平台上兴起。具体来说,诈骗者在社交网络上找出技术服务提供者,以合法项目的名义说服他们下载存储库。然而,存储库中的代码包含一个不稳定的“npm run”命令,可能会危及用户的文件系统。为了防范这种策略,建议在下载存储库时保持谨慎,尤其是当不熟悉的源提示时,并使用Semgrep或CodeQL等工具仔细检查存储库代码,建立已定义规则以确保其在本地执行时的安全性。
相关推荐