12月2日消息，區(qū)塊鏈安全機(jī)構(gòu)Hacken在X平臺(tái)發(fā)文表示，其團(tuán)隊(duì)最近發(fā)現(xiàn)了一類(lèi)在Telegram和Linkedin等平臺(tái)上興起的騙局。值得注意的是，該騙局針對(duì)的是加密行業(yè)的開(kāi)發(fā)者和審計(jì)人員。 具體而言，詐騙者在社交網(wǎng)絡(luò)上專(zhuān)門(mén)找出提供技術(shù)服務(wù)的個(gè)人，以合法項(xiàng)目的名義說(shuō)服他們下載存儲(chǔ)庫(kù)。在存儲(chǔ)庫(kù)中，代碼里有一個(gè)不穩(wěn)定的“npm run”命令。當(dāng)執(zhí)行時(shí)，它可能會(huì)危及用戶(hù)的文件系統(tǒng)。這種方法與以前涉及欺騙性zip文件和PDF的騙局相似。 為了加強(qiáng)對(duì)這種策略的防御，可以考慮以下措施： - 在下載存儲(chǔ)庫(kù)時(shí)保持謹(jǐn)慎，特別是當(dāng)不熟悉的源提示時(shí)； - 使用Semgrep或CodeQL等工具仔細(xì)檢查存儲(chǔ)庫(kù)代碼，建立已定義規(guī)則以確保其在本地執(zhí)行時(shí)的安全性。