这是一个创建于 78 天前的主题,其中的信息可能已经有所发展或是发生改变。
我提交申请后,让我用 https://github.com/stellarhatchmilky/Front-End-Test-Boilerplate 这个项目模板开发一个页面。需求看起来也挺正常的,但是我在 github 打开这个仓库有个 png 的内容居然是代码,我有点怀疑代码内容是来盗本地私钥来盗币的。
https://github.com/stellarhatchmilky/Front-End-Test-Boilerplate/blob/main/src/assets/logo.png
这个 png 里面是内容,然后 https://github.com/stellarhatchmilky/Front-End-Test-Boilerplate/blob/33c53464413842c1f92dc8635dd6b318393a296d/config-overrides.js#L7 这里执行了这个 png 里面的代码,虽然代码内容我看不太懂,这个操作就很危险。
有懂行的哥们帮忙看一下,如果没问题让 @Livid 把这个账号 ban 了
顺便说一下,千万不要把代码下载下来执行,很危险!!!!
第 1 条附言 78 天前
https://github.com/yanguoyu/Front-End-Test-Boilerplate
源仓库被举报 github 账号被删除了,我 fork 了一份供大家参观。1 天后删除仓库。
再次说明,不下载,不运行。
源仓库被举报 github 账号被删除了,我 fork 了一份供大家参观。1 天后删除仓库。
再次说明,不下载,不运行。
第 2 条附言 76 天前
我的参考仓库也已经删除,原理可以看 #7 和 #42
 | 1 Livid MOD PRO 谢谢,这个账号已经被彻底 ban 。 |
 | 2 DeepUse 78 天前 via iPhone 居然被灰产盯上了那 12 个单词。 |
 | 3 JoeJoeJoe PRO 很机智, 很明显是恶意代码, 仓库直接举报了 |
 | 4 Shelios 78 天前 啊,社会真险恶啊 |
 | 5 yhxx 78 天前 确实是恶意代码 可以向这个地址 http://93.127.134.237:3000/keys 发请求获取恶意代码在本地执行 |
 | 6 79lawyer 78 天前 哇。。。感觉我肯定不会看的这么细,好细心啊 |
 | 7 gaoryrt 78 天前 |
 | 8 FreeEx 78 天前 标准的 c2 行为,会下载恶意文件,开机自启动。 |
 | 10 magicdawn 78 天前 真恶心啊 |
 | 11 chaoooooos 78 天前 我擦 见识到了 |
 | 12 chengxy 78 天前 搞这些还不如让微信自动执行呢 |
 | 13 cat 78 天前 感谢 OP 的细心,认识了现在的骗子手段。 |
 | 14 jbgz 78 天前 |
 | 15 Tink PRO 我靠,防不胜防 |
 | 16 manami 78 天前 可怕,是我肯定中招了,防不胜防 |
 | 17 K332 78 天前 这种下指定模板的就算了吧。op 没有无脑 clone 下来也是很谨慎了 |
 | 18 coolcoffee 78 天前  1 尝试把代码丢给 Claude 分析,结果就分析到了一半说有恶意行为赶紧删了,拒绝进行更进一步的分析也是醉了 |
 | 19 evada OP @coolcoffee 哈哈,很谨慎 |
 | 20 eldenboy 78 天前 via Android 已经举报了,刚举报完一看项目已经被 github 封掉了 |
| 21 evada OP |
 | 22 rionfox 78 天前 via iPhone 1 web3 黑暗森林,名不虚传 |
 | 23 fujizx 78 天前 项目不见了,好奇 op 是怎么发现 png 是代码的 |
 | 26 94 78 天前 还是落后了。我还以为是来白嫖面试的,没想到是盗密钥的。 不过真能信会上这个当的,玩币也是韭菜吧…… |
 | 28 BeforeTooLate 78 天前 @evada 这 png 直接不可以预览打开就说代码,如果本身 png 可以正常打开预览,代码是嵌入到原始文件里面岂不是更加无法发现 |
| 29 evada OP @dfkjgklfdjg 你说的很有道理,我加上了 |
 | 30 xuejianxianzun 78 天前 删库还挺快的 |
| 31 BeforeTooLate 78 天前 @fujizx png 无法打开图片预览,github 上打开就是代码,如果 png 打开还是图片估计 op 就不会发现了。 |
| 32 evada OP @BeforeTooLate 是的,这个事情以后要多个心眼了,如果是在本身的 png 里面嵌入一段代码更难发现。 |
 | 33 nuansediao 78 天前 该说不说,op 的安全意识是真的强~~估计换我凉凉了。 |
 | 34 qwerty01446 nbsp;78 天前 @evada #24 好强的观察力 |
| 35 fujizx 78 天前 @BeforeTooLate 别说图片了。。直接在代码里投毒我都不一定能发现,一个项目那么多文件。。 |
 | 36 brave6 78 天前 1 看到了,执行在 config-overrides.js 还把 fs 包装成 jmpparser 。https://github.com/yanguoyu/Front-End-Test-Boilerplate/blob/4365ae670ea83e5ef0e4661b5f6847827371b105/config-overrides.js#L3-L7 |
 | 37 jiujiutang 78 天前 很细 |
 | 38 sillydaddy 78 天前 |
 | 39 NMmmm 78 天前 啊,哥们这怎么定位的。你这太细了吧 |
 | 40 zgzhang 77 天前 一个安全从业人员都觉得厉害,这个投递的姿势还是非常有针对性的,以前的思路还局限在钓鱼邮件,脉脉钓鱼 HR ,这种针对程序员的,迷惑性还真的是大,op 也是细致+运气好,如果这个人活再细致点,比如代码不写在本地的 logo 文件中,而是使用投毒的供应链包,被发现的概率更低。只能说防不胜防 |
 | 41 buffzty 77 天前 logo.png 会请求 http://93.127.134.237:3000/j/marstech2 这个网址下载一个 gjs_marstech2.js 文件来执行 刚刚打了一下网站关了 js 文件我上传到 ubuntu 了 https://paste.ubuntu.com/p/3X48XsXtGB/ 给个思路 有空的自己去弄它.这种混淆的不用去破解 直接在虚拟机运行, http 中间人看请求.ebpf hook 一下 读,写,删文件的点 |
| 42 zgzhang 77 天前  |
 | 44 JoeDH 77 天前 估计已经有人中招了,好阴险啊 这狗比 |
 | 45 tonytonychopper 77 天前 我差点也中招了,找不到仓库然后搜到了这个帖子……不过话说回来,这种恶意行为要怎么防范呢? |
 | 46 Vaspike 77 天前 真开眼了, 前所未闻的方式 |
 | 47 zhouchijian 77 天前 妈的,项目我跑起来了,但是没搞过加密货币,应该没事吧。 |
 | 48 NOspy 77 天前 不得不说,发布的这个招聘需求去招人可能还确实比较容易招到加密货币持有者 |
| 49 evada OP @tonytonychopper 有这一次之后,以后不确定来源的项目运行都要小心了,就算是装包也要小心,因为很有可能写到 post install 里面 |
| 50 evada OP @zhouchijian 看起来应该没事,不是病毒,只是扫描文件。不过最好看下自启动里面有没有,不然以后搞了加密货币被盗就不好了。 |
| 51 zgzhang 77 天前 @zhouchijian 劝你更新所有密码,他的代码里明显存在有收集各种浏览器数据的行为 |
 | 52 chen27 77 天前 这是真学到东西了。警惕大家:不明项目一律沙盒运行,千万别直接在宿主机上跑 |
 | 53 jwesthaverr 77 天前 学到了,以前的我像个新兵蛋子,OP 这一个帖子提升了我不知多少安全意识,感谢一下 |
 | 54 qbmiller 75 天前 前几天漫雾发的一个,也是类似。 威胁情报:Solana 开源机器人盗币分析 https://mp.weixin.qq.com/s/p56MnHi7aptdOVEvi742yQ |
 | 55 SnaHou 75 天前 防不胜防 |
 | 56 Knuth 75 天前 via iPhone 我艹 |
 | 57 changwei 75 天前 via Android 任何不正规 github orgs 里面的的仓库以及来路不明代码都不要随便运行,也不要执行 npm install ( postinstall 里面可能也有危险脚本) 听说新版本 node.js 已经在逐渐开始严格建立安全策略限制 nodejs 脚本访问硬盘范围了 |
 | 58 LaureatePoet 75 天前 via iPhone 这可能是 APT 组织 Lazarus 的 Contagious Interview 活动。近几年,朝鲜背景的针对 web3 的攻击活动特别多,比如通过 Linkedin 钓鱼面试者,执行某个 GitHub 仓库 然后中招。类似的活动很多,可以参考 https://blog.bitmex.com/bitmex-busts-lazarus-group/ https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters/ 没想到还会来 V 站发帖。 |
| 59 LaureatePoet 75 天前 via iPhone 具体归因还是得仔细分析,大概看了 op 的描述很像 Lazarus 组织的 BeaverTail 的攻击武器 |
 | 60 abysscong 75 天前 有木有大佬存 fork 啦,来晚了想研究一下~ |
 | 61 shenqi 75 天前 又看到读取了那些文件吗? |
 | 63 darson 75 天前 感觉玩加密货币必须严格物理隔离,每个操作层面都会被算计。 |
 | 64 loliyu 74 天前 用了下 k2 解释下 感觉也不错 https://www.kimi.com/share/d241bgm0ftluec9i6r2g |
 | 65 arigatuo 74 天前 不管啥招聘搞虚拟机隔离一下子比较安全 |
 | 66 morphyhu 74 天前 竟然对程序员下手了, 防不胜防啊. |
 | 67 zhangxiangliang 74 天前 如果这事发生在我身上,我估计早就中招了。我的思维路径会非常简单:接到招聘邀请 -> 对方发来代码 -> git clone 下来开干。整个过程里压根就不会有“这会不会是个坑?”这个念头。满脑子想的都是怎么把问题解决掉。看来我们这种技术思维,在复杂的社会套路面前还是太“裸奔”了,感谢提醒,以后得多个心眼。 |
 | 68 Terry05 74 天前 着实可恶 |
 | 69 Naco 73 天前 还真是开了眼了,居然还能通过这种方式来下套 |
 | 70 BenjaminSu 73 天前 所以还是得安装杀毒软件。 刚复制,保存 js 内容到本地磁盘,直接爆出病毒了 |
 | 72 3W4ter 73 天前 @zhouchijian 浏览器没有安装钱包插件 没有事 不过样本有删吗 如果还在 是否方便分享一下?谢谢 |
| 73 zhouchijian 72 天前 via Android @3W4ter 没有了,当时连夜删掉了。 |
 | 75 darkjoker 52 天前 刚我面试也遇到了,https://github.com/MorpheusDX-Network/property-rental 大佬们帮忙看看有没有这个问题,前面的例子都删掉看不到 |
Select Language