githubscam
683 vues
4 mentions
Populaire
Récents
Voir l’original
🚨 ⚠️ Nouvelle Arnaque Cible les Développeurs via un Modèle GitHub !
Selon PANews, un développeur nommé evada a rapporté sur V2EX qu'il a rencontré du code malveillant caché dans un projet GitHub partagé lors d'un processus de candidature.
🔍 Voici ce qui s'est passé :
Un recruteur a partagé un modèle de projet hébergé sur GitHub.
Un fichier apparemment innocent, logo.png, contenait en réalité du code exécutable.
Ce code était déclenché via config-overrides.js pour voler des clés privées de crypto locales.
Il télécharge un trojan et le configure pour s'exécuter au démarrage — extrêmement furtif et dangereux.
🛑 Pourquoi cela importe : C'est une nouvelle arnaque très trompeuse ciblant les développeurs et les détenteurs de crypto. Exécuter simplement une base de code inconnue peut désormais compromettre votre système.
🔒 Restez en sécurité :
Ne faites jamais confiance aux fichiers de projet aveuglément — même les images peuvent être utilisées comme des armes.
Inspectez soigneusement les dépendances du projet et les configurations de remplacement.
Traitez les dépôts envoyés par des offres d'emploi ou les projets de test avec une extrême prudence.
Utilisez des environnements isolés ou des machines virtuelles pour le code non fiable.
GitHub a depuis supprimé le dépôt, et l'administrateur de V2EX a banni l'escroc, mais le risque demeure pour les autres.
👉 Développeurs : Restez vigilants. Vérifiez tout.
#SécuritéCrypto #GitHubScam #Web3Safety #CryptoScamSurge
Selon PANews, un développeur nommé evada a rapporté sur V2EX qu'il a rencontré du code malveillant caché dans un projet GitHub partagé lors d'un processus de candidature.
🔍 Voici ce qui s'est passé :
Un recruteur a partagé un modèle de projet hébergé sur GitHub.
Un fichier apparemment innocent, logo.png, contenait en réalité du code exécutable.
Ce code était déclenché via config-overrides.js pour voler des clés privées de crypto locales.
Il télécharge un trojan et le configure pour s'exécuter au démarrage — extrêmement furtif et dangereux.
🛑 Pourquoi cela importe : C'est une nouvelle arnaque très trompeuse ciblant les développeurs et les détenteurs de crypto. Exécuter simplement une base de code inconnue peut désormais compromettre votre système.
🔒 Restez en sécurité :
Ne faites jamais confiance aux fichiers de projet aveuglément — même les images peuvent être utilisées comme des armes.
Inspectez soigneusement les dépendances du projet et les configurations de remplacement.
Traitez les dépôts envoyés par des offres d'emploi ou les projets de test avec une extrême prudence.
Utilisez des environnements isolés ou des machines virtuelles pour le code non fiable.
GitHub a depuis supprimé le dépôt, et l'administrateur de V2EX a banni l'escroc, mais le risque demeure pour les autres.
👉 Développeurs : Restez vigilants. Vérifiez tout.
#SécuritéCrypto #GitHubScam #Web3Safety #CryptoScamSurge
Voir l’original
🚨 Développeurs, attention : Modèle de candidature d'emploi GitHub trouvé pour voler des portefeuilles de crypto-monnaie !
Une nouvelle escroquerie inquiétante ciblant les développeurs a été révélée, grâce à un rapport d'un utilisateur nommé Evada sur le forum technologique V2EX. Lors d'un processus de candidature, Evada a été invité par un recruteur à cloner et à travailler sur un projet GitHub — mais ce qui semblait être une tâche de codage standard était en réalité un piège malveillant dissimulé.
🧨 Le piège :
À l'intérieur du projet, un fichier apparemment inoffensif nommé logo.png n'était pas qu'une image — il était intégré avec du code malveillant exécutable. Le fichier config-overrides.js du projet déclenchait secrètement l'exécution, conçu pour voler les clés privées de crypto-monnaie locales.
📡 Comment cela a fonctionné :
Le script malveillant a envoyé une demande pour télécharger un fichier trojan depuis un serveur distant.
Une fois téléchargé, il était configuré pour s'exécuter automatiquement au démarrage du système, donnant à l'attaquant un accès persistant.
La charge utile visait spécifiquement les portefeuilles de crypto-monnaie et les données sensibles des utilisateurs.
🛑 Action immédiate prise :
L'administrateur de V2EX, Livid, a confirmé que le compte utilisateur fautif a été banni.
GitHub a également supprimé le dépôt malveillant.
💬 Réaction de la communauté :
De nombreux développeurs ont exprimé leur inquiétude face à cette nouvelle méthode de ciblage des codeurs à travers des candidatures d'emploi. L'escroquerie mêle ingénierie sociale et tromperie technique, ce qui la rend particulièrement dangereuse.
⚠️ Point clé à retenir pour les développeurs :
Ne faites jamais confiance au code ou aux modèles provenant de sources inconnues ou non vérifiées — même s'ils proviennent d'un soi-disant recruteur.
Inspectez toujours les fichiers suspects, en particulier les fichiers image ou multimédia dans les projets de développement.
Utilisez un environnement sécurisé et isolé lorsque vous travaillez sur des projets inconnus.
🔐 Restez en sécurité, développeurs — les escrocs deviennent plus intelligents, mais la sensibilisation est votre première ligne de défense.
#DevAlert #GitHubScam #CryptoSecurity2025 #Malware #CryptoWallet
Une nouvelle escroquerie inquiétante ciblant les développeurs a été révélée, grâce à un rapport d'un utilisateur nommé Evada sur le forum technologique V2EX. Lors d'un processus de candidature, Evada a été invité par un recruteur à cloner et à travailler sur un projet GitHub — mais ce qui semblait être une tâche de codage standard était en réalité un piège malveillant dissimulé.
🧨 Le piège :
À l'intérieur du projet, un fichier apparemment inoffensif nommé logo.png n'était pas qu'une image — il était intégré avec du code malveillant exécutable. Le fichier config-overrides.js du projet déclenchait secrètement l'exécution, conçu pour voler les clés privées de crypto-monnaie locales.
📡 Comment cela a fonctionné :
Le script malveillant a envoyé une demande pour télécharger un fichier trojan depuis un serveur distant.
Une fois téléchargé, il était configuré pour s'exécuter automatiquement au démarrage du système, donnant à l'attaquant un accès persistant.
La charge utile visait spécifiquement les portefeuilles de crypto-monnaie et les données sensibles des utilisateurs.
🛑 Action immédiate prise :
L'administrateur de V2EX, Livid, a confirmé que le compte utilisateur fautif a été banni.
GitHub a également supprimé le dépôt malveillant.
💬 Réaction de la communauté :
De nombreux développeurs ont exprimé leur inquiétude face à cette nouvelle méthode de ciblage des codeurs à travers des candidatures d'emploi. L'escroquerie mêle ingénierie sociale et tromperie technique, ce qui la rend particulièrement dangereuse.
⚠️ Point clé à retenir pour les développeurs :
Ne faites jamais confiance au code ou aux modèles provenant de sources inconnues ou non vérifiées — même s'ils proviennent d'un soi-disant recruteur.
Inspectez toujours les fichiers suspects, en particulier les fichiers image ou multimédia dans les projets de développement.
Utilisez un environnement sécurisé et isolé lorsque vous travaillez sur des projets inconnus.
🔐 Restez en sécurité, développeurs — les escrocs deviennent plus intelligents, mais la sensibilisation est votre première ligne de défense.
#DevAlert #GitHubScam #CryptoSecurity2025 #Malware #CryptoWallet
Voir l’original
🚨Les développeurs ciblés dans une nouvelle escroquerie choquante de portefeuille crypto via un modèle GitHub ! 💻🪙
Ce qui a commencé comme une tâche de codage « normale » s'est transformé en cauchemar pour un candidat — et maintenant cela envoie des ondes de choc à travers la communauté des développeurs. Un projet GitHub, déguisé en partie d'une candidature, a été secrètement conçu pour voler des portefeuilles crypto et des clés privées. 😨
👨💻 La configuration trompeuse : Un utilisateur nommé Evada sur V2EX a révélé qu'un recruteur leur avait demandé de cloner un dépôt GitHub et de compléter une tâche de codage. Mais enfoui dans le projet se trouvait un logo.png armé — pas une image, mais un logiciel malveillant déguisé. La charge malveillante a été silencieusement déclenchée via le fichier config-overrides.js.
👨💻 La configuration trompeuse : Un utilisateur nommé Evada sur V2EX a révélé qu'un recruteur leur avait demandé de cloner un dépôt GitHub et de compléter une tâche de codage. Mais enfoui dans le projet se trouvait un logo.png armé — pas une image, mais un logiciel malveillant déguisé. La charge malveillante a été silencieusement déclenchée via le fichier config-overrides.js.
Connectez-vous pour découvrir d’autres contenus