Odaily星球日报讯 区块链安全机构Hacken在X平台发文表示,其团队最近发现了一类在Telegram和Linkedin等平台上兴起的**。值得注意的是,该**针对的是加密行业的开发者和审计人员。 具体而言,**者在社交网络上专门找出提供技术服务的个人,以合法项目的名义说服他们下载存储库。在存储库中,代码里有一个不稳定的“npm run”命令。当执行时,它可能会危及用户的文件系统。这种方法与以前涉及欺骗性zip文件和PDF的**相似。 为了加强对这种策略的防御,可以考虑以下措施: - 在下载存储库时保持谨慎,特别是当不熟悉的源提示时; - 使用Semgrep或CodeQL等工具仔细检查存储库代码,建立已定义规则以确保其在本地执行时的安全性。本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 support1012@126.com 举报,一经查实,本站将立刻删除。
研究称:生成一张AI图像所消耗能源相当于给手机充满电
上一篇2023-12-02