您可能一直在留意电子邮件中可能存在的网络钓鱼邮件。您很清楚安全规则：如果您有任何疑问，请不要点击任何链接或下载附件。

您可能一直在留意电子邮件中可能存在的网络钓鱼邮件。您很清楚安全规则：如果您有任何疑问，请不要点击任何链接或下载附件。这些都没错，但是，在实践中很难坚持。现在，攻击者又发现了一个更有效的攻击途径…#phishing《在谷歌日历中植入钓鱼攻击链接的结果是什么？》https://www.iyouport.org/%e5%9c%a8%e8%b0%b7%e6%ad%8c%e6%97%a5%e5%8e%86%e4%b8%ad%e6%a4%8d%e5%85%a5%e9%92%93%e9%b1%bc%e6%94%bb%e5%87%bb%e9%93%be%e6%8e%a5%e7%9a%84%e7%bb%93%e6%9e%9c%e6%98%af%e4%bb%80%e4%b9%88%ef%bc%9f/

Hacken：有诈骗者冒充项目方诱导开发者和审计人员下载可疑存储库

Hacken：有诈骗者冒充项目方诱导开发者和审计人员下载可疑存储库12月2日消息，区块链安全机构Hacken在X平台发文表示，其团队最近发现了一类在Telegram和Linkedin等平台上兴起的骗局。值得注意的是，该骗局针对的是加密行业的开发者和审计人员。具体而言，诈骗者在社交网络上专门找出提供技术服务的个人，以合法项目的名义说服他们下载存储库。在存储库中，代码里有一个不稳定的“npmrun”命令。当执行时，它可能会危及用户的文件系统。这种方法与以前涉及欺骗性zip文件和PDF的骗局相似。为了加强对这种策略的防御，可以考虑以下措施：-在下载存储库时保持谨慎，特别是当不熟悉的源提示时；-使用Semgrep或CodeQL等工具仔细检查存储库代码，建立已定义规则以确保其在本地执行时的安全性。