12月2日消息，區(qū)塊鏈安全機構(gòu)Hacken在X平臺發(fā)文表示，其團隊最近發(fā)現(xiàn)了一類在Telegram和Linkedin等平臺上興起的騙局。值得注意的是，該騙局針對的是加密行業(yè)的開發(fā)者和審計人員。 具體而言，詐騙者在社交網(wǎng)絡(luò)上專門找出提供技術(shù)服務(wù)的個人，以合法項目的名義說服他們下載存儲庫。在存儲庫中，代碼里有一個不穩(wěn)定的“npm run”命令。當執(zhí)行時，它可能會危及用戶的文件系統(tǒng)。這種方法與以前涉及欺騙性zip文件和PDF的騙局相似。 為了加強對這種策略的防御，可以考慮以下措施： - 在下載存儲庫時保持謹慎，特別是當不熟悉的源提示時； - 使用Semgrep或CodeQL等工具仔細檢查存儲庫代碼，建立已定義規(guī)則以確保其在本地執(zhí)行時的安全性。