12月2日消息，區(qū)塊鏈安全機(jī)構(gòu)Hacken在X平臺發(fā)文指出，最近他們發(fā)現(xiàn)了一種針對加密行業(yè)開發(fā)者和審計人員的騙局在Telegram和Linkedin等平臺上興起。具體來說，詐騙者在社交網(wǎng)絡(luò)上找出技術(shù)服務(wù)提供者，以合法項目的名義說服他們下載存儲庫。然而，存儲庫中的代碼包含一個不穩(wěn)定的“npm run”命令，可能會危及用戶的文件系統(tǒng)。為了防范這種策略，建議在下載存儲庫時保持謹(jǐn)慎，尤其是當(dāng)不熟悉的源提示時，并使用Semgrep或CodeQL等工具仔細(xì)檢查存儲庫代碼，建立已定義規(guī)則以確保其在本地執(zhí)行時的安全性。