【链文】PANews 28 juillet - Selon un site Web, un utilisateur nommé evada a récemment posté qu'il avait été demandé, lors de son entretien d'embauche, d'utiliser un modèle de projet GitHub spécifié par l'employeur pour développer une page. Il a découvert que le projet contenait du code malveillant. Concrètement, le fichier logo.png dans le projet semblait être une image, mais contenait en réalité du code exécutable, qui était déclenché par le fichier config-overrides.js, avec l'intention de voler la clé privée des cryptoactifs de l'utilisateur.
Evada a indiqué que ce code malveillant envoie des requêtes à des URL spécifiques, télécharge des fichiers de cheval de Troie et les configure pour un démarrage automatique, présentant une dissimulation et un danger très élevés. L'administrateur du site a déclaré avoir bloqué les comptes concernés, et GitHub a également supprimé les dépôts malveillants associés. Plusieurs utilisateurs ont commenté que ce type de méthode d'escroquerie nouvelle ciblant les programmeurs est extrêmement trompeuse, et ont averti les développeurs de rester vigilants lors de l'exécution de projets d'origine incertaine.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
5
Partager
Commentaire
0/400
FloorPriceWatcher
· 07-30 05:18
En regardant, j'ai envie de crier : les profiteurs savent vraiment profiter sans rien donner.
Voir l'originalRépondre0
DefiPlaybook
· 07-28 10:03
Selon les statistiques, la perte due à ce type de chemin d'attaque représente jusqu'à 23,4 %.
Voir l'originalRépondre0
OnChainArchaeologist
· 07-28 00:12
Eh, utiliser de telles méthodes pour tromper les pigeons.
Voir l'originalRépondre0
CryptoGoldmine
· 07-28 00:07
En regardant les données, plus de 50 % des dépôts pourraient présenter des risques, les développeurs devraient apprendre à utiliser des outils pour analyser le flux de données du code.
Voir l'originalRépondre0
JustHereForAirdrops
· 07-27 23:53
Ne prêtez pas trop attention au code source du projet, si la clé privée est divulguée, vous êtes fini.
Alerte sur les nouveaux types d'eyewash : les modèles de projet GitHub cachent du code malveillant pour voler des clés privées de cryptoactifs.
【链文】PANews 28 juillet - Selon un site Web, un utilisateur nommé evada a récemment posté qu'il avait été demandé, lors de son entretien d'embauche, d'utiliser un modèle de projet GitHub spécifié par l'employeur pour développer une page. Il a découvert que le projet contenait du code malveillant. Concrètement, le fichier logo.png dans le projet semblait être une image, mais contenait en réalité du code exécutable, qui était déclenché par le fichier config-overrides.js, avec l'intention de voler la clé privée des cryptoactifs de l'utilisateur.
Evada a indiqué que ce code malveillant envoie des requêtes à des URL spécifiques, télécharge des fichiers de cheval de Troie et les configure pour un démarrage automatique, présentant une dissimulation et un danger très élevés. L'administrateur du site a déclaré avoir bloqué les comptes concernés, et GitHub a également supprimé les dépôts malveillants associés. Plusieurs utilisateurs ont commenté que ce type de méthode d'escroquerie nouvelle ciblant les programmeurs est extrêmement trompeuse, et ont averti les développeurs de rester vigilants lors de l'exécution de projets d'origine incertaine.