Hacken:有诈骗者冒充项目方诱导开发者和审计人员下载可疑

据2021年12月2日消息，区块链安全公司Hacken在X平台上发表文章，称他们最近发现了一种在Telegram和Linkedin等平台上流行的骗局。值得注意的是，这种骗局主要针对加密行业的开发人员和审计人员。

具体来说，诈骗者在社交网络上专门针对提供技术服务的个人，以合法项目的名义说服他们下载存储库。在存储库中，代码会包含一个不稳定的“npm run”命令。一旦执行，可能会危及用户的文件系统。这种方法与之前涉及欺骗性zip文件和PDF的骗局相似。

为了加强对这种策略的防御，可以考虑以下措施： - 在下载存储库时要保持谨慎，特别是当来自不熟悉的来源时； - 使用Semgrep或CodeQL等工具仔细检查存储库代码，建立已定义规则以确保其在本地执行时的安全性。