这是一个创建于 169 天前的主题,其中的信息可能已经有所发展或是发生改变。
我提交申请后,让我用 https://github.com/stellarhatchmilky/Front-End-Test-Boilerplate 这个项目模板开发一个页面。需求看起来也挺正常的,但是我在 github 打开这个仓库有个 png 的内容居然是代码,我有点怀疑代码内容是来盗本地私钥来盗币的。
https://github.com/stellarhatchmilky/Front-End-Test-Boilerplate/blob/main/src/assets/logo.png
这个 png 里面是内容,然后 https://github.com/stellarhatchmilky/Front-End-Test-Boilerplate/blob/33c53464413842c1f92dc8635dd6b318393a296d/config-overrides.js#L7 这里执行了这个 png 里面的代码,虽然代码内容我看不太懂,这个操作就很危险。
有懂行的哥们帮忙看一下,如果没问题让 @Livid 把这个账号 ban 了
顺便说一下,千万不要把代码下载下来执行,很危险!!!!
第 1 条附言 · 2025 年 7 月 25 日
https://github.com/yanguoyu/Front-End-Test-Boilerplate
源仓库被举报 github 账号被删除了,我 fork 了一份供大家参观。1 天后删除仓库。
再次说明,不下载,不运行。
源仓库被举报 github 账号被删除了,我 fork 了一份供大家参观。1 天后删除仓库。
再次说明,不下载,不运行。
第 2 条附言 · 2025 年 7 月 26 日
我的参考仓库也已经删除,原理可以看 #7 和 #42
 |
1
Livid MOD PRO 谢谢,这个账号已经被彻底 ban 。
|
 |
2
DeepUse 2025 年 7 月 25 日 via iPhone
居然被灰产盯上了那 12 个单词。
|
 |
3
JoeJoeJoe PRO 很机智, 很明显是恶意代码, 仓库直接举报了
|
 |
4
Shelios 2025 年 7 月 25 日
啊,社会真险恶啊😲
|
 |
5
yhxx 2025 年 7 月 25 日
确实是恶意代码
可以向这个地址 http://93.127.134.237:3000/keys 发请求获取恶意代码在本地执行 |
 |
6
79lawyer 2025 年 7 月 25 日
哇。。。感觉我肯定不会看的这么细,好细心啊
|
 |
7
gaoryrt 2025 年 7 月 25 日
|
 |
8
dushixiang 2025 年 7 月 25 日
标准的 c2 行为,会下载恶意文件,开机自启动。
|
 |
10
magicdawn 2025 年 7 月 25 日
真恶心啊
|
 |
11
chaoooooos 2025 年 7 月 25 日
我擦 见识到了
|
 |
12
chengxy 2025 年 7 月 25 日
搞这些还不如让微信自动执行呢🐶
|
 |
13
cat 2025 年 7 月 25 日
感谢 OP 的细心,认识了现在的骗子手段。
|
 |
14
jbgz 2025 年 7 月 25 日
|
 |
15
Tink PRO 我靠,防不胜防
|
 |
16
manami 2025 年 7 月 25 日
可怕,是我肯定中招了,防不胜防
|
 |
17
K332 2025 年 7 月 25 日
这种下指定模板的就算了吧。op 没有无脑 clone 下来也是很谨慎了
|
 |
18
coolcoffee 2025 年 7 月 25 日  1
尝试把代码丢给 Claude 分析,结果就分析到了一半说有恶意行为赶紧删了,拒绝进行更进一步的分析也是醉了🤣
|
 |
19
evada OP @coolcoffee 哈哈,很谨慎
|
 |
20
eldenboy 2025 年 7 月 25 日 via Android
已经举报了,刚举报完一看项目已经被 github 封掉了
|
|
21
evada OP |
 |
22
rionfox 2025 年 7 月 25 日 via iPhone 1
web3 黑暗森林,名不虚传😂
|
 |
23
fujizx 2025 年 7 月 25 日
项目不见了,好奇 op 是怎么发现 png 是代码的
|
 |
26
94 2025 年 7 月 25 日
还是落后了。我还以为是来白嫖面试的,没想到是盗密钥的。
不过真能信会上这个当的,玩币也是韭菜吧…… |
 |
28
BeforeTooLate 2025 年 7 月 25 日
@evada 这 png 直接不可以预览打开就说代码,如果本身 png 可以正常打开预览,代码是嵌入到原始文件里面岂不是更加无法发现
|
|
29
evada OP @dfkjgklfdjg 你说的很有道理,我加上了
|
 |
30
xuejianxianzun 2025 年 7 月 25 日
删库还挺快的
|
|
31
BeforeTooLate 2025 年 7 月 25 日
@fujizx png 无法打开图片预览,github 上打开就是代码,如果 png 打开还是图片估计 op 就不会发现了。
|
|
32
evada OP @BeforeTooLate 是的,这个事情以后要多个心眼了,如果是在本身的 png 里面嵌入一段代码更难发现。
|
 |
33
nuansediao 2025 年 7 月 25 日
该说不说,op 的安全意识是真的强~~估计换我凉凉了。
|
 |
34
qwerty01446 2025 年 7 月 25 日
@evada #24 好强的观察力
|
|
35
fujizx 2025 年 7 月 25 日
@BeforeTooLate 别说图片了。。直接在代码里投毒我都不一定能发现,一个项目那么多文件。。
|
 |
36
brave6 2025 年 7 月 25 日 1
看到了,执行在 config-overrides.js 还把 fs 包装成 jmpparser 。https://github.com/yanguoyu/Front-End-Test-Boilerplate/blob/4365ae670ea83e5ef0e4661b5f6847827371b105/config-overrides.js#L3-L7
|
 |
37
jiujiutang 2025 年 7 月 25 日
很细👍
|
 |
38
sillydaddy 2025 年 7 月 25 日
|
 |
39
NMmmm 2025 年 7 月 25 日
啊,哥们这怎么定位的。你这太细了吧
|
 |
40
zgzhang 2025 年 7 月 25 日
一个安全从业人员都觉得厉害,这个投递的姿势还是非常有针对性的,以前的思路还局限在钓鱼邮件,脉脉钓鱼 HR ,这种针对程序员的,迷惑性还真的是大,op 也是细致+运气好,如果这个人活再细致点,比如代码不写在本地的 logo 文件中,而是使用投毒的供应链包,被发现的概率更低。只能说防不胜防
|
 |
41
buffzty 2025 年 7 月 25 日
logo.png 会请求 http://93.127.134.237:3000/j/marstech2 这个网址下载一个 gjs_marstech2.js 文件来执行
刚刚打了一下网站关了 js 文件我上传到 ubuntu 了 https://paste.ubuntu.com/p/3X48XsXtGB/ 给个思路 有空的自己去弄它.这种混淆的不用去破解 直接在虚拟机运行, http 中间人看请求.ebpf hook 一下 读,写,删文件的点 |
|
42
zgzhang 2025 年 7 月 25 日
 |
 |
44
JoeDH 2025 年 7 月 25 日
估计已经有人中招了,好阴险啊 这狗比
|
 |
45
tonytonychopper 2025 年 7 月 26 日
我差点也中招了,找不到仓库然后搜到了这个帖子……不过话说回来,这种恶意行为要怎么防范呢?
|
 |
46
Vaspike 2025 年 7 月 26 日
真开眼了, 前所未闻的方式
|
 |
47
zhouchijian 2025 年 7 月 26 日
妈的,项目我跑起来了,但是没搞过加密货币,应该没事吧。
|
 |
48
NOspy 2025 年 7 月 26 日
不得不说,发布的这个招聘需求去招人可能还确实比较容易招到加密货币持有者
|
|
49
evada OP @tonytonychopper 有这一次之后,以后不确定来源的项目运行都要小心了,就算是装包也要小心,因为很有可能写到 post install 里面
|
|
50
evada OP @zhouchijian 看起来应该没事,不是病毒,只是扫描文件。不过最好看下自启动里面有没有,不然以后搞了加密货币被盗就不好了。
|
|
51
zgzhang 2025 年 7 月 26 日
@zhouchijian 劝你更新所有密码,他的代码里明显存在有收集各种浏览器数据的行为
|
 |
52
chen27 2025 年 7 月 26 日
这是真学到东西了。警惕大家:不明项目一律沙盒运行,千万别直接在宿主机上跑
|
 |
53
jwesthaverr 2025 年 7 月 26 日
学到了,以前的我像个新兵蛋子,OP 这一个帖子提升了我不知多少安全意识,感谢一下
|
 |
54
qbmiller 2025 年 7 月 27 日
前几天漫雾发的一个,也是类似。
威胁情报:Solana 开源机器人盗币分析 https://mp.weixin.qq.com/s/p56MnHi7aptdOVEvi742yQ |
 |
55
SnaHou 2025 年 7 月 27 日
防不胜防
|
 |
56
Knuth 2025 年 7 月 27 日 via iPhone
我艹
|
 |
57
changwei 2025 年 7 月 28 日 via Android
任何不正规 github orgs 里面的的仓库以及来路不明代码都不要随便运行,也不要执行 npm install ( postinstall 里面可能也有危险脚本)
听说新版本 node.js 已经在逐渐开始严格建立安全策略限制 nodejs 脚本访问硬盘范围了 |
 |
58
LaureatePoet 2025 年 7 月 28 日 via iPhone
这可能是 APT 组织 Lazarus 的 Contagious Interview 活动。近几年,朝鲜背景的针对 web3 的攻击活动特别多,比如通过 Linkedin 钓鱼面试者,执行某个 GitHub 仓库 然后中招。类似的活动很多,可以参考 https://blog.bitmex.com/bitmex-busts-lazarus-group/
https://unit42.paloaltonetworks.com/two-campaigns-by-north-korea-bad-actors-target-job-hunters/ 没想到还会来 V 站发帖。 |
|
59
LaureatePoet 2025 年 7 月 28 日 via iPhone
具体归因还是得仔细分析,大概看了 op 的描述很像 Lazarus 组织的 BeaverTail 的攻击武器
|
 |
60
abysscong 2025 年 7 月 28 日
有木有大佬存 fork 啦,来晚了想研究一下~
|
 |
61
shenqi 2025 年 7 月 28 日
又看到读取了那些文件吗?
|
 |
63
darson 2025 年 7 月 28 日
感觉玩加密货币必须严格物理隔离,每个操作层面都会被算计。
|
 |
64
loliyu 2025 年 7 月 29 日
用了下 k2 解释下 感觉也不错
https://www.kimi.com/share/d241bgm0ftluec9i6r2g |
 |
65
arigatuo 2025 年 7 月 29 日
不管啥招聘搞虚拟机隔离一下子比较安全
|
 |
66
morphyhu 2025 年 7 月 29 日
竟然对程序员下手了, 防不胜防啊.
|
 |
67
zhangxiangliang 2025 年 7 月 29 日
如果这事发生在我身上,我估计早就中招了。我的思维路径会非常简单:接到招聘邀请 -> 对方发来代码 -> git clone 下来开干。整个过程里压根就不会有“这会不会是个坑?”这个念头。满脑子想的都是怎么把问题解决掉。看来我们这种技术思维,在复杂的社会套路面前还是太“裸奔”了,感谢提醒,以后得多个心眼。
|
 |
68
Terry05 2025 年 7 月 29 日
着实可恶
|
 |
69
Naco 2025 年 7 月 29 日
还真是开了眼了,居然还能通过这种方式来下套
|
 |
70
BenjaminSu 2025 年 7 月 29 日
所以还是得安装杀毒软件。
刚复制,保存 js 内容到本地磁盘,直接爆出病毒了 |
 |
71
3W4ter 2025 年 7 月 30 日
@buffzty 感谢分享的 js 文件,不过我还是想获取这个样本的 MD5 ,不知道楼主是否还存有那个仓库的样本?如果还在的话,想交流一下,再次感谢
|
|
72
3W4ter 2025 年 7 月 30 日
@zhouchijian 浏览器没有安装钱包插件 没有事 不过样本有删吗 如果还在 是否方便分享一下?谢谢
|
|
73
zhouchijian 2025 年 7 月 30 日 via Android
@3W4ter 没有了,当时连夜删掉了。
|
 |
75
darkjoker 2025 年 8 月 20 日
刚我面试也遇到了,https://github.com/MorpheusDX-Network/property-rental 大佬们帮忙看看有没有这个问题,前面的例子都删掉看不到
|
Select Language