1/?
Vous pouvez vous faire avoir en installant une extension vscode/cursor !
Récemment, certaines personnes ont remarqué qu'il existe des copies malveillantes d'extensions populaires comme Solidity et Hardhat !
Auparavant, environ 500 000 $ ont été volés à cause d'une extension de code malveillante.
🧵👇
- dans ce fil, je vais compiler tous les tweets que je peux trouver sur les extensions d'éditeur de code malveillantes -
threador arc???
continuez à lire
2/10
Ces problèmes ont refait surface plusieurs fois en début d'année, mais cette fois, le fil de @0xZodomo a attiré beaucoup plus d'attention.
Y a-t-il une extension VSCode Solidity malveillante ? Il semble que la version de `juan-blanco` ait plus de téléchargements/meilleures critiques, malgré le fait qu'elle soit nouvelle. La version de `juanblanco` a de mauvaises critiques, moins de téléchargements, mais une histoire plus longue. La nouvelle version N'A PAS FONCTIONNÉ, donc j'ai cherché plus loin. 🧵
3/10
Ensuite, @pcaversaccio, l'un des chads de la sécurité ct a commencé à s'y intéresser.
Cette extension est fausse et probablement très malveillante - vérifiez toujours _qui_ l'a publiée (Microsoft, quand la provenance des extensions ??). Si vous avez installé l'extension, déconnectez-vous immédiatement d'Internet, déplacez tous vos actifs de portefeuille chaud sur cet appareil vers un portefeuille matériel sécurisé et ouvrez un ticket avec nous chez SEAL 911.
4/10
Plus de citations de ce tweet ci-dessus :
la partie malveillante se trouve dans le fichier `modal.js` ; en résumé, voici ce qui suit. L'obfuscation appliquée est :
- le tableau `hexColors` contient des fragments Base64 remplis avec `#`
- inversé, joint, dépouillé de `#`, décodé en Base64
- le code décodé est exécuté via un `eval` caché (`ZXZhbA==`)
Le comportement est :
- cible uniquement Windows (`win32`) et macOS (`darwin`)
- désactive la vérification des certificats `TLS` (`NODE_TLS_REJECT_UNAUTHORIZED = "0"`).
- récupère du JS distant depuis :
Windows → p92nd[.]pages[.]dev/cj292ke.txt
macOS → p92nd[.]pages[.]dev/ufjm20r.txt
- exécute le code récupéré via `eval` (exécution de code arbitraire)
- utilise `process.exit(0)` pour une terminaison discrète en cas d'erreurs ou de charge utile vide
Je ne vais pas entrer dans plus de détails pour l'instant. Des actions sont en cours.
7/10
Un employé de Kaspersky partage son analyse
Il y a quelques semaines, je répondais à un incident de cybersécurité - 500 000 $ ont été volés à un développeur de #blockchain. Le système d'exploitation infecté était fraîchement installé, et la victime était vigilante en matière de cybersécurité. Comment cela a-t-il pu se produire ? Nouvelle attaque de la chaîne d'approvisionnement ? [1/6]
N'hésitez pas à ajouter plus de fils / tweets ci-dessous !
2,78 k
81
Le contenu de cette page est fourni par des tiers. Sauf indication contraire, OKX n’est pas l’auteur du ou des articles cités et ne revendique aucun droit d’auteur sur le contenu. Le contenu est fourni à titre d’information uniquement et ne représente pas les opinions d’OKX. Il ne s’agit pas d’une approbation de quelque nature que ce soit et ne doit pas être considéré comme un conseil en investissement ou une sollicitation d’achat ou de vente d’actifs numériques. Dans la mesure où l’IA générative est utilisée pour fournir des résumés ou d’autres informations, ce contenu généré par IA peut être inexact ou incohérent. Veuillez lire l’article associé pour obtenir davantage de détails et d’informations. OKX n’est pas responsable du contenu hébergé sur des sites tiers. La détention d’actifs numériques, y compris les stablecoins et les NFT, implique un niveau de risque élevé et leur valeur peut considérablement fluctuer. Examinez soigneusement votre situation financière pour déterminer si le trading ou la détention d’actifs numériques vous convient.