12月2日消息，區塊鏈安全機構Hacken在X平臺發文表示，其團隊最近發現了一類在Telegram和Linkedin等平臺上興起的騙局。值得注意的是，該騙局針對的是加密行業的開發者和審計人員。 具體而言，詐騙者在社交網絡上專門找出提供技術服務的個人，以合法項目的名義說服他們下載存儲庫。在存儲庫中，代碼里有一個不穩定的“npm run”命令。當執行時，它可能會危及用戶的文件系統。這種方法與以前涉及欺騙性zip文件和PDF的騙局相似。 為了加強對這種策略的防御，可以考慮以下措施： - 在下載存儲庫時保持謹慎，特別是當不熟悉的源提示時； - 使用Semgrep或CodeQL等工具仔細檢查存儲庫代碼，建立已定義規則以確保其在本地執行時的安全性。