1/? 安装 vscode/cursor 扩展可能会让你遭受损失! 最近,有人注意到有一些流行扩展的恶意副本,比如 Solidity 和 Hardhat! 之前,由于一个恶意代码编辑器扩展,约有 50 万美元被盗。 🧵👇
- 在这个帖子中,我将汇总我能找到的关于恶意代码编辑器扩展的所有推文 - threador arc??? 继续阅读
2/10 这些问题在年初时出现过几次,但这次 @0xZodomo 的帖子引起了更多人的关注。
是否存在恶意的 solidity VSCode 扩展?看起来来自 `juan-blanco` 的版本下载量更多/评价更好,尽管它是新的。来自 `juanblanco` 的版本评价差,下载量少,但历史更长。新版本没有工作,所以我进一步调查。🧵
3/10 然后,@pcaversaccio,一个ct安全的chad,开始对此进行调查。
这个扩展是假的,可能非常恶意 - 始终检查 _谁_ 发布了它(微软什么时候会对扩展的来源进行验证??)。如果你安装了这个扩展,请立即断开互联网连接,将该设备上的所有热钱包资产转移到安全的硬件钱包,并在 SEAL 911 向我们提交工单。
4/10 更多引用上面的推文:
恶意部分位于 `modal.js` 文件中;简而言之如下。应用的混淆是: - `hexColors` 数组包含用 `#` 填充的 Base64 片段 - 反转、连接、去掉 `#`,进行 Base64 解码 - 解码后的代码通过隐藏的 `eval` 执行 (`ZXZhbA==`) 行为是: - 仅针对 Windows (`win32`) 和 macOS (`darwin`) - 禁用 `TLS` 证书验证 (`NODE_TLS_REJECT_UNAUTHORIZED = "0"`)。 - 从远程获取 JS: Windows → p92nd[.]pages[.]dev/cj292ke.txt macOS → p92nd[.]pages[.]dev/ufjm20r.txt - 通过 `eval` 执行获取的代码(任意代码执行) - 使用 `process.exit(0)` 在错误或空有效载荷时进行隐蔽终止 我暂时不打算深入细节。已采取行动。
7/10 一名卡巴斯基员工分享他的分析
A few weeks ago, I was responding to a cybersecurity incident - $500,000 have been stolen from a #blockchain developer. The infected operating system was freshly installed, and the victim was vigilant about cybersecurity. How could this happen? New supply chain attack? [1/6]
8/10 @juanfranblanco 的另一条推文
@code There is a new solidity extension impersonating mine, my name etc. This extension has just been published today, and has managed to even fake a whopping 20 million downloads. This might include malware.
请随意在下面插入更多的线程/推文!
查看原文
3,452
97
本页面内容由第三方提供。除非另有说明,欧易不是所引用文章的作者,也不对此类材料主张任何版权。该内容仅供参考,并不代表欧易观点,不作为任何形式的认可,也不应被视为投资建议或购买或出售数字资产的招揽。在使用生成式人工智能提供摘要或其他信息的情况下,此类人工智能生成的内容可能不准确或不一致。请阅读链接文章,了解更多详情和信息。欧易不对第三方网站上的内容负责。包含稳定币、NFTs 等在内的数字资产涉及较高程度的风险,其价值可能会产生较大波动。请根据自身财务状况,仔细考虑交易或持有数字资产是否适合您。