【链文】PANews 7月28日消息,据某网站,用户evada近日发帖称,在应聘过程中被要求使用招聘方指定的GitHub проект шаблон для разработки страницы, результатом чего стало обнаружение шкідливого коду в проекті. Конкретно, файл logo.png в проекті на перший погляд виглядає як зображення, але насправді містить виконуваний код, який активується через файл config-overrides.js з наміром вкрасти закритий ключ користувача.
evada зазначив, що цей шкідливий код надсилає запити до певного веб-сайту, завантажує файл трояна та налаштовує його на автоматичний запуск при запуску системи, що має дуже високу прихованість і небезпеку. Адміністратор сайту стверджує, що вжито заходів для блокування залучених облікових записів, а GitHub також видалив відповідні шкідливі репозиторії. Кілька користувачів коментують, що такі нові шахрайські методи, спрямовані на програмістів, є надзвичайно заплутаними, і закликають розробників бути особливо обережними при запуску проектів з неперевірених джерел.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
5
Поділіться
Прокоментувати
0/400
FloorPriceWatcher
· 07-30 05:18
Дивлячись на це, хочеться лаятися, бідаки справді можуть все отримати безкоштовно.
Переглянути оригіналвідповісти на0
DefiPlaybook
· 07-28 10:03
Згідно зі статистикою, втрати за такими шляхами атак становлять до 23,4%.
Переглянути оригіналвідповісти на0
OnChainArchaeologist
· 07-28 00:12
Гей, такі методи обманюють невдах.
Переглянути оригіналвідповісти на0
CryptoGoldmine
· 07-28 00:07
Дивлячись на дані, більше 50% сховищ можуть бути під ризиком, розробники повинні навчитися використовувати інструменти для аналізу кодових потоків даних.
Переглянути оригіналвідповісти на0
JustHereForAirdrops
· 07-27 23:53
Не зосереджуйтесь занадто на вихідному коді проекту, якщо закритий ключ потрапить у руки зловмисників, ви будете в біді.
Обережно новий тип замилювання очей: шаблони проектів GitHub приховують шкідливий код для крадіжки закритих ключів криптоактивів
【链文】PANews 7月28日消息,据某网站,用户evada近日发帖称,在应聘过程中被要求使用招聘方指定的GitHub проект шаблон для разработки страницы, результатом чего стало обнаружение шкідливого коду в проекті. Конкретно, файл logo.png в проекті на перший погляд виглядає як зображення, але насправді містить виконуваний код, який активується через файл config-overrides.js з наміром вкрасти закритий ключ користувача.
evada зазначив, що цей шкідливий код надсилає запити до певного веб-сайту, завантажує файл трояна та налаштовує його на автоматичний запуск при запуску системи, що має дуже високу прихованість і небезпеку. Адміністратор сайту стверджує, що вжито заходів для блокування залучених облікових записів, а GitHub також видалив відповідні шкідливі репозиторії. Кілька користувачів коментують, що такі нові шахрайські методи, спрямовані на програмістів, є надзвичайно заплутаними, і закликають розробників бути особливо обережними при запуску проектів з неперевірених джерел.