欧易数字货币Web3的直通车

2025年3月1日，据 News.bitcoin 报道，一项隐秘的恶意软件活动正通过在 Github 上的虚假开源项目中嵌入恶意代码来劫持加密钱包，诱骗开发人员执行隐藏的有效载荷。

研究人员 Georgy Kucherin 和 Joao Godinho 发现，一个名为 Gitvenom 的网络攻击活动正在活跃，攻击者通过创建伪装成合法软件工具的欺诈性存储库，来诱导开发者下载和执行其中的恶意代码。

Gitvenom 的攻击模式与传统钓鱼或恶意软件传播方式不同，它利用了 Github 作为可信任的开源软件托管平台，利用开发者对开源代码的信任，悄然植入恶意代码。这些代码在执行后，会秘密运行有效载荷，导致用户的加密钱包被劫持，可能造成资产损失。

研究人员指出，攻击者会根据不同的编程语言调整恶意代码的嵌入方式。例如：

• 在 Python 项目中，恶意代码可能隐藏在 setup.py 或 requirements.txt 中，安装依赖时触发恶意脚本。

• 在 JavaScript（Node.js）项目中，攻击者可能会在 package.json 或 index.js 中嵌入恶意依赖。

• 在 C++ 或 Go 语言项目中，恶意代码可能藏在编译配置文件或第三方库中。

此次攻击表明，即使是受信任的平台 Github 也可能成为恶意代码的传播途径，特别是在 Web3 和加密货币领域，开发者必须更加谨慎。

为了防范 Gitvenom 及类似攻击，研究人员建议：

1. 验证存储库可信度：下载代码前，检查项目的维护者、提交历史及社区反馈。

2. 代码审查：避免直接运行陌生项目的 install、setup 或 build 脚本。

3. 使用安全工具：利用 GitGuardian、Snyk 等工具扫描代码中的潜在安全风险。

4. 隔离运行环境：在本地或沙盒环境中运行可疑代码，避免直接暴露私人钱包。

随着加密资产和 Web3 技术的发展，黑客攻击手法也在不断升级。Gitvenom 事件再次提醒开发者，网络安全不仅仅是用户的问题，也是整个开发生态需要高度关注的重点。未来，Github 及其他代码托管平台可能需要进一步加强安全防护，减少类似攻击的发生。