devalert
482 lượt xem
3 đang thảo luận
Phổ biến
Mới nhất
Xem bản gốc
🚨 CẢNH BÁO AN NINH:
Hơn 400 gói NPM — bao gồm các thư viện ENS & crypto quan trọng — đã bị tấn công theo kiểu **sâu**! 🐛
Kẻ tấn công đã đánh cắp **thông tin xác thực của nhà phát triển & khóa ví**.
Các nhà phát triển & người dùng, hãy cẩn trọng và cập nhật các gói của bạn NGAY BÂY GIỜ! ⚠️
#CryptoSecurity #ENS #NPM #DevAlert #CryptoNews
Hơn 400 gói NPM — bao gồm các thư viện ENS & crypto quan trọng — đã bị tấn công theo kiểu **sâu**! 🐛
Kẻ tấn công đã đánh cắp **thông tin xác thực của nhà phát triển & khóa ví**.
Các nhà phát triển & người dùng, hãy cẩn trọng và cập nhật các gói của bạn NGAY BÂY GIỜ! ⚠️
#CryptoSecurity #ENS #NPM #DevAlert #CryptoNews
Xem bản gốc
🚨 Các nhà phát triển hãy cẩn thận: Mẫu đơn xin việc trên GitHub bị phát hiện có khả năng đánh cắp ví tiền điện tử!
Một vụ lừa đảo đáng sợ mới nhắm vào các nhà phát triển đã được phát hiện, nhờ vào một báo cáo của một người dùng có tên Evada trên diễn đàn công nghệ V2EX. Trong quá trình xin việc, Evada được một nhà tuyển dụng hướng dẫn sao chép và làm việc trên một dự án GitHub — nhưng cái mà tưởng chừng như là một nhiệm vụ lập trình bình thường thực chất lại là một cái bẫy phần mềm độc hại.
🧨 Cái Bẫy:
Bên trong dự án, một tệp tin dường như vô hại có tên logo.png không chỉ là một hình ảnh — nó đã được nhúng mã độc thực thi. Tệp config-overrides.js của dự án đã âm thầm kích hoạt việc thực thi, được thiết kế để đánh cắp các khóa riêng tư tiền điện tử địa phương.
📡 Cách Nó Hoạt Động:
Kịch bản độc hại đã gửi một yêu cầu để tải xuống một tệp trojan từ một máy chủ từ xa.
Khi đã được tải xuống, nó được thiết lập để chạy tự động khi khởi động hệ thống, tạo cho kẻ tấn công quyền truy cập liên tục.
Mã độc nhắm mục tiêu cụ thể vào ví tiền điện tử và dữ liệu nhạy cảm của người dùng.
🛑 Hành Động Ngay Lập Tức Được Thực Hiện:
Quản trị viên V2EX Livid đã xác nhận tài khoản người dùng vi phạm đã bị cấm.
GitHub cũng đã gỡ bỏ kho mã độc.
💬 Phản Ứng Cộng Đồng:
Nhiều nhà phát triển đã bày tỏ lo ngại về phương pháp mới này nhắm vào các lập trình viên thông qua đơn xin việc. Vụ lừa đảo kết hợp kỹ thuật xã hội với sự lừa dối kỹ thuật, khiến nó đặc biệt nguy hiểm.
⚠️ Bài Học Quan Trọng Dành Cho Các Nhà Phát Triển:
Không bao giờ tin tưởng mã hoặc mẫu từ các nguồn không rõ ràng hoặc không được xác minh — ngay cả khi chúng đến từ một nhà tuyển dụng được cho là.
Luôn kiểm tra các tệp nghi ngờ, đặc biệt là các tệp hình ảnh hoặc tệp phương tiện trong các dự án phát triển.
Sử dụng một môi trường an toàn, được cách ly khi làm việc trên các dự án không quen thuộc.
🔐 Hãy an toàn, các nhà phát triển — những kẻ lừa đảo đang trở nên thông minh hơn, nhưng sự nhận thức là hàng rào phòng thủ đầu tiên của bạn.
#DevAlert #GitHubScam #CryptoSecurity2025 #Malware #CryptoWallet
Một vụ lừa đảo đáng sợ mới nhắm vào các nhà phát triển đã được phát hiện, nhờ vào một báo cáo của một người dùng có tên Evada trên diễn đàn công nghệ V2EX. Trong quá trình xin việc, Evada được một nhà tuyển dụng hướng dẫn sao chép và làm việc trên một dự án GitHub — nhưng cái mà tưởng chừng như là một nhiệm vụ lập trình bình thường thực chất lại là một cái bẫy phần mềm độc hại.
🧨 Cái Bẫy:
Bên trong dự án, một tệp tin dường như vô hại có tên logo.png không chỉ là một hình ảnh — nó đã được nhúng mã độc thực thi. Tệp config-overrides.js của dự án đã âm thầm kích hoạt việc thực thi, được thiết kế để đánh cắp các khóa riêng tư tiền điện tử địa phương.
📡 Cách Nó Hoạt Động:
Kịch bản độc hại đã gửi một yêu cầu để tải xuống một tệp trojan từ một máy chủ từ xa.
Khi đã được tải xuống, nó được thiết lập để chạy tự động khi khởi động hệ thống, tạo cho kẻ tấn công quyền truy cập liên tục.
Mã độc nhắm mục tiêu cụ thể vào ví tiền điện tử và dữ liệu nhạy cảm của người dùng.
🛑 Hành Động Ngay Lập Tức Được Thực Hiện:
Quản trị viên V2EX Livid đã xác nhận tài khoản người dùng vi phạm đã bị cấm.
GitHub cũng đã gỡ bỏ kho mã độc.
💬 Phản Ứng Cộng Đồng:
Nhiều nhà phát triển đã bày tỏ lo ngại về phương pháp mới này nhắm vào các lập trình viên thông qua đơn xin việc. Vụ lừa đảo kết hợp kỹ thuật xã hội với sự lừa dối kỹ thuật, khiến nó đặc biệt nguy hiểm.
⚠️ Bài Học Quan Trọng Dành Cho Các Nhà Phát Triển:
Không bao giờ tin tưởng mã hoặc mẫu từ các nguồn không rõ ràng hoặc không được xác minh — ngay cả khi chúng đến từ một nhà tuyển dụng được cho là.
Luôn kiểm tra các tệp nghi ngờ, đặc biệt là các tệp hình ảnh hoặc tệp phương tiện trong các dự án phát triển.
Sử dụng một môi trường an toàn, được cách ly khi làm việc trên các dự án không quen thuộc.
🔐 Hãy an toàn, các nhà phát triển — những kẻ lừa đảo đang trở nên thông minh hơn, nhưng sự nhận thức là hàng rào phòng thủ đầu tiên của bạn.
#DevAlert #GitHubScam #CryptoSecurity2025 #Malware #CryptoWallet
Đăng nhập để khám phá thêm nội dung