【链文】PANews 28 de julho, segundo um determinado site, o usuário evada recentemente postou que foi solicitado, durante o processo de candidatura, a usar um modelo de projeto do GitHub designado pela parte contratante para desenvolver uma página, e acabou descobrindo que o projeto continha código malicioso. A manifestação específica é que o arquivo logo.png do projeto, à primeira vista uma imagem, na verdade contém código executável, e é acionado através do arquivo config-overrides.js, com a intenção de roubar a chave privada de criptografia local do usuário.
A evada apontou que o código malicioso envia solicitações para URLs específicas, baixa arquivos de trojan e os configura para iniciar automaticamente, apresentando um alto nível de ocultação e perigosidade. O administrador do site afirmou que as contas envolvidas foram banidas, e o GitHub também já removeu os repositórios maliciosos relacionados. Vários usuários comentaram que esse tipo de golpe novo, direcionado a programadores, é extremamente enganoso, alertando os desenvolvedores a serem cautelosos ao executar projetos de origem desconhecida.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
9 Curtidas
Recompensa
9
5
Compartilhar
Comentário
0/400
FloorPriceWatcher
· 07-30 05:18
Olhar para isso dá vontade de xingar. Os freeloaders realmente conseguem aproveitar-se sem pagar.
Ver originalResponder0
DefiPlaybook
· 07-28 10:03
De acordo com as estatísticas, a perda devido a esse tipo de caminho de ataque atinge 23,4%.
Ver originalResponder0
OnChainArchaeologist
· 07-28 00:12
Ah, usar esse tipo de tática para enganar idiotas
Ver originalResponder0
CryptoGoldmine
· 07-28 00:07
Ver dados, mais de 50% dos repositórios podem ter riscos, os desenvolvedores devem aprender a usar ferramentas para analisar o fluxo de dados do código.
Ver originalResponder0
JustHereForAirdrops
· 07-27 23:53
Não leve tão a sério o código-fonte do projeto. Se a chave privada vazar, você já era.
Atenção a novos esquemas: modelos de projetos no GitHub escondem código malicioso para roubar Chave privada de ativos de criptografia
【链文】PANews 28 de julho, segundo um determinado site, o usuário evada recentemente postou que foi solicitado, durante o processo de candidatura, a usar um modelo de projeto do GitHub designado pela parte contratante para desenvolver uma página, e acabou descobrindo que o projeto continha código malicioso. A manifestação específica é que o arquivo logo.png do projeto, à primeira vista uma imagem, na verdade contém código executável, e é acionado através do arquivo config-overrides.js, com a intenção de roubar a chave privada de criptografia local do usuário.
A evada apontou que o código malicioso envia solicitações para URLs específicas, baixa arquivos de trojan e os configura para iniciar automaticamente, apresentando um alto nível de ocultação e perigosidade. O administrador do site afirmou que as contas envolvidas foram banidas, e o GitHub também já removeu os repositórios maliciosos relacionados. Vários usuários comentaram que esse tipo de golpe novo, direcionado a programadores, é extremamente enganoso, alertando os desenvolvedores a serem cautelosos ao executar projetos de origem desconhecida.