警告:针对Upwork上加密货币开发者的恶意代码库攻击
💡
原文英文,约600词,阅读约需3分钟。
📝
内容提要
近期,Upwork上出现针对加密货币开发者的恶意攻击,攻击者通过虚假客户账户发布诱人工作,实则植入恶意代码,导致钱包被盗和身份盗用。开发者应谨慎评估工作,避免执行不信任的代码,并在隔离环境中测试。
🎯
关键要点
- Upwork上出现针对加密货币开发者的恶意攻击,攻击者通过虚假客户账户发布诱人工作。
- 攻击者的工作流程包括创建可信的客户资料、发布吸引人的工作岗位、进行初步面试和要求完成编码挑战。
- 恶意代码通常隐藏在后端文件或依赖文件中,执行后会窃取系统信息和加密货币钱包凭证。
- 攻击目标主要是具有加密货币和区块链专业知识的开发者,以及在Upwork上有良好声誉的自由职业者。
- 已经有开发者报告遭遇攻击,导致个人和客户钱包被盗、Upwork和电子邮件账户被侵入。
- 开发者应在评估工作时仔细研究客户,避免执行不信任的代码,并在隔离环境中测试。
- 建议使用专用的虚拟机或沙盒环境进行代码测试,避免在主开发机器上执行不信任的代码。
- 针对加密货币工作的开发者应使用隔离的开发环境,避免在开发机器上存储活跃的钱包凭证。
- 已向Upwork安全团队报告此漏洞,正在进行调查,同时呼吁开发者社区保持警惕并分享信息。
➡️
