https://ex.noerr.eu.org/t/1147530
我提交申请后,让我用 https://github.com/stellarhatchmilky/Front-End-Test-Boilerplate 这个项目模板开发一个页面。需求看起来也挺正常的,但是我在 github 打开这个仓库有个 png 的内容居然是代码,我有点怀疑代码内容是来盗本地私钥来盗币的。
https://github.com/stellarhatchmilky/Front-End-Test-Boilerplate/blob/main/src/assets/logo.png
这个 png 里面是内容,然后 https://github.com/stellarhatchmilky/Front-End-Test-Boilerplate/blob/33c53464413842c1f92dc8635dd6b318393a296d/config-overrides.js#L7 这里执行了这个 png 里面的代码,虽然代码内容我看不太懂,这个操作就很危险。
有懂行的哥们帮忙看一下,如果没问题让 @Livid 把这个账号 ban 了
顺便说一下,千万不要把代码下载下来执行,很危险!!!!
第 1 条附言 · 1 天前
https://github.com/yanguoyu/Front-End-Test-Boilerplate
源仓库被举报 github 账号被删除了,我 fork 了一份供大家参观。1 天后删除仓库。
再次说明,不下载,不运行。
源仓库被举报 github 账号被删除了,我 fork 了一份供大家参观。1 天后删除仓库。
再次说明,不下载,不运行。
第 2 条附言 · 9 小时 38 分钟前
我的参考仓库也已经删除,原理可以看 #7 和 #42
 |
1
Livid MOD PRO 谢谢,这个账号已经被彻底 ban 。
|
 |
2
DeepUse 1 天前 via iPhone
居然被灰产盯上了那 12 个单词。
|
 |
3
JoeJoeJoe 1 天前
很机智, 很明显是恶意代码, 仓库直接举报了
|
 |
4
Shelios 1 天前
啊,社会真险恶啊😲
|
 |
5
yhxx 1 天前
确实是恶意代码
可以向这个地址 http://93.127.134.237:3000/keys 发请求获取恶意代码在本地执行 |
 |
6
xuqiccr 1 天前
哇。。。感觉我肯定不会看的这么细,好细心啊
|
 |
7
gaoryrt 1 天前
|
 |
8
FreeEx 1 天前
标准的 c2 行为,会下载恶意文件,开机自启动。
|
 |
10
magicdawn 1 天前
真恶心啊
|
 |
11
chaoooooos 1 天前
我擦 见识到了
|
 |
12
chengxy 1 天前
搞这些还不如让微信自动执行呢🐶
|
 |
13
cat 1 天前
感谢 OP 的细心,认识了现在的骗子手段。
|
 |
14
jbgz 1 天前
|
 |
15
Tink PRO 我靠,防不胜防
|
 |
16
manami 1 天前
可怕,是我肯定中招了,防不胜防
|
 |
17
K332 1 天前
这种下指定模板的就算了吧。op 没有无脑 clone 下来也是很谨慎了
|
 |
18
coolcoffee 1 天前  1
尝试把代码丢给 Claude 分析,结果就分析到了一半说有恶意行为赶紧删了,拒绝进行更进一步的分析也是醉了🤣
|
 |
19
evada OP @coolcoffee 哈哈,很谨慎
|
 |
20
eldenboy 1 天前 via Android
已经举报了,刚举报完一看项目已经被 github 封掉了
|
|
21
evada OP |
 |
22
rionfox 1 天前 via iPhone
web3 黑暗森林,名不虚传😂
|
 |
23
fujizx 1 天前
项目不见了,好奇 op 是怎么发现 png 是代码的
|
 |
26
dfkjgklfdjg 1 天前
还是落后了。我还以为是来白嫖面试的,没想到是盗密钥的。
不过真能信会上这个当的,玩币也是韭菜吧…… |
|
27
dfkjgklfdjg 1 天前 1
@evada #21 ,得在 README 里面说明一下情况吧。别到时候有人上当给你举报了
|
 |
28
BeforeTooLate 1 天前
@evada 这 png 直接不可以预览打开就说代码,如果本身 png 可以正常打开预览,代码是嵌入到原始文件里面岂不是更加无法发现
|
|
29
evada OP @dfkjgklfdjg 你说的很有道理,我加上了
|
 |
30
xuejianxianzun 1 天前
删库还挺快的
|
|
31
BeforeTooLate 1 天前
@fujizx png 无法打开图片预览,github 上打开就是代码,如果 png 打开还是图片估计 op 就不会发现了。
|
|
32
evada OP @BeforeTooLate 是的,这个事情以后要多个心眼了,如果是在本身的 png 里面嵌入一段代码更难发现。
|
 |
33
nuansediao 1 天前
该说不说,op 的安全意识是真的强~~估计换我凉凉了。
|
 |
34
qwerty01446 1 天前
@evada #24 好强的观察力
|
|
35
fujizx 1 天前
@BeforeTooLate 别说图片了。。直接在代码里投毒我都不一定能发现,一个项目那么多文件。。
|
 |
36
brave6 1 天前 1
看到了,执行在 config-overrides.js 还把 fs 包装成 jmpparser 。https://github.com/yanguoyu/Front-End-Test-Boilerplate/blob/4365ae670ea83e5ef0e4661b5f6847827371b105/config-overrides.js#L3-L7
|
 |
37
jiujiutang 1 天前
很细👍
|
 |
38
sillydaddy 1 天前
|
 |
39
NMmmm 1 天前
啊,哥们这怎么定位的。你这太细了吧
|
 |
40
zgzhang 1 天前
一个安全从业人员都觉得厉害,这个投递的姿势还是非常有针对性的,以前的思路还局限在钓鱼邮件,脉脉钓鱼 HR ,这种针对程序员的,迷惑性还真的是大,op 也是细致+运气好,如果这个人活再细致点,比如代码不写在本地的 logo 文件中,而是使用投毒的供应链包,被发现的概率更低。只能说防不胜防
|
 |
41
buffzty 1 天前
logo.png 会请求 http://93.127.134.237:3000/j/marstech2 这个网址下载一个 gjs_marstech2.js 文件来执行
刚刚打了一下网站关了 js 文件我上传到 ubuntu 了 https://paste.ubuntu.com/p/3X48XsXtGB/ 给个思路 有空的自己去弄它.这种混淆的不用去破解 直接在虚拟机运行, http 中间人看请求.ebpf hook 一下 读,写,删文件的点 |
|
42
zgzhang 1 天前
 |
 |
44
JoeDH 1 天前
估计已经有人中招了,好阴险啊 这狗比
|
 |
45
tonytonychopper 1 天前
我差点也中招了,找不到仓库然后搜到了这个帖子……不过话说回来,这种恶意行为要怎么防范呢?
|
 |
46
Vaspike 22 小时 26 分钟前
真开眼了, 前所未闻的方式
|
 |
47
zhouchijian 20 小时 22 分钟前
妈的,项目我跑起来了,但是没搞过加密货币,应该没事吧。
|
 |
48
NOspy 18 小时 42 分钟前
不得不说,发布的这个招聘需求去招人可能还确实比较容易招到加密货币持有者
|
|
49
evada OP @tonytonychopper 有这一次之后,以后不确定来源的项目运行都要小心了,就算是装包也要小心,因为很有可能写到 post install 里面
|
|
50
evada OP @zhouchijian 看起来应该没事,不是病毒,只是扫描文件。不过最好看下自启动里面有没有,不然以后搞了加密货币被盗就不好了。
|
|
51
zgzhang 17 小时 55 分钟前
@zhouchijian 劝你更新所有密码,他的代码里明显存在有收集各种浏览器数据的行为
|
 |
52
chen27 16 小时 53 分钟前
这是真学到东西了。警惕大家:不明项目一律沙盒运行,千万别直接在宿主机上跑
|
 |
53
jwesthaverr 16 小时 46 分钟前
学到了,以前的我像个新兵蛋子,OP 这一个帖子提升了我不知多少安全意识,感谢一下
|
Select Language