先介绍下相关背景: 本人正在投递Web3相关工作,大概就是加密货币那些东西,一般从事这一行的自己肯定有一个钱包账户,钱包私钥/助记词泄露 ≈ 这个钱包的控制权泄露。别人可以直接转走你钱包里的链上资产。 事发昨日半夜,TG上有一个人加我,跟我说之前是听XX提起的我,他们急需用人。 虽然这个人我没听说过,但是我确实在找工作,我就顺着往下聊了,后续问我要了简历相关后跟我聊了点技术、语言相关。开始提出技术测验,本来我已经躺下并且对方很着急但是想着说不定是个机会还是爬起来了。 后续又对项目给我提了一些问题后让我运行项目,我当时并没有起疑 重点来了 npm start 后我的电脑风扇转速明显提升,在夜里比较明显,并且电脑CPU飙升(9850X3D),我立刻警铃大作,怀疑被投毒,决定立刻断网。 处理 迁移项目到另一台电脑上用codex分析,项目根目录中一个js文件被混淆了恶意代码,不贴源码了,大概贴一下代码问题 module.exports = { content: [ "./src/**/*.{js,jsx,ts,tsx}", "./public/index.html", ], theme: { extend: { colors: { primary: { dark: "rgb(92, 35, 7)", orange: "rgba(215, 129, 66, 1)", light: "rgba(230, 124, 31, 1)", }, mint: "#00ffa3", blue: "#5865f2", }, fontFamily: { montserrat: ["Montserrat", "sans-serif"], bakbak: ["Bakbak One", "sans-serif"], }, backgroundImage: { "gradient-primary": "linear-gradient(25deg, rgba(215, 129, 66, 1) 3%, rgba(230, 124, 31, 1) 32%, rgba(92, 35, 7, 1) 62%)", }, }, }, plugins: [], }; // 后面被追加了大量混淆恶意 JavaScript。 // 为避免误执行或再次传播 这里不再展示 分析结果 下载/控制地址: http://45.59.163.198:1244/s/90284f194823 用户目录落地位置: C:\Users\XXX\.vscode 主要落地文件: f.js package.json package-lock.json node_modules ex3 sid font3 plog3 pomt3 tpath 落地的 f.js SHA256: FB484315DF79FAC9D832861CE7B955C7733BF3F4073DD0659CEC24E260A442E0 其依赖里出现过这些包名: @nut-tree-fork/nut-js axios basic-ftp clipboardy msgpack-lite plist request screenshot-desktop sharp socket.io-client ssh2 unzipper uuid 这些特征更接近远控/信息窃取器 伪代码结构 文件:tailwind.config.js 1. 先导出正常 Tailwind 配置 - content 指向 src 和 public - theme.extend 定义颜色、字体、背景渐变 - plugins 为空数组 2. 正常配置后面追加混淆 JavaScript - 通过大量编码字符串、数组重排、动态解码隐藏真实逻辑 - 让肉眼审查时不容易看到 URL、路径、命令和依赖名 3. 当 react-scripts 加载 Tailwind 配置时,Node.js 执行追加代码 4. 恶意追加代码的大致流程 主流程: 如果当前环境不符合条件: 退出 设置落地目录: 用户目录 = C:\Users\xxx 伪装目录 = 用户目录\.vscode 创建伪装目录: 如果 .vscode 不存在: 创建目录 准备二阶段文件: 目标文件 = .vscode\f.js 目标 package.json = .vscode\package.json 从远端地址请求载荷: 远端地址 = http://45.59.163.198:1244/s/90284f194823 把返回内容写入: .vscode\f.js .vscode\package.json 在 .vscode 目录里安装依赖: 触发 npm install 或等价流程 启动二阶段: 让 Node.js 执行 f.js 5. 二阶段 f.js 的大致能力 初始化: 生成或读取 sid 记录本机标识 连接远端控制端 建立通信: 连接 socket.io 控制通道 等待远端命令 上传执行结果 信息收集: 扫描浏览器/钱包/SSH/FTP/系统信息相关路径 读取剪贴板 截屏 收集文件列表或特定敏感文件 远程控制: 接收远端指令 执行文件上传/下载 执行交互控制相关动作 维持会话状态 清理或隐藏: 使用 .vscode 作为伪装目录 用普通 node 子进程运行 命令行可能显示为 node - 后续: 火绒全盘查杀 利用codex、claude code进行扫描分析 必要时考虑重装系统 cookie重置 个人分析: 该攻击精确针对web3从业者,个人钱包余额不多并且断网及时未造成任何损失 在墙内被保护得太好的,佬友们在外面一定要警惕投毒,避免造成任何资损 网络安全不容忽视! 9 个帖子 - 5 位参与者 阅读完整话题
收到一条莫名其妙的信息,真有人上当么 有没有搞渗透的佬啊,把它当靶场干它。 11 个帖子 - 10 位参与者 阅读完整话题
此种现象由来已久,基本特征是: 牛头不对马嘴的标题和内容,(俗称标题党) 标题极具煽动/误导性,明显标题不对劲。 发帖人,被佬友发现问题,一直装死。 (无回复,无任何boost) 不止一个帖子,之前有这样的情况。所以提醒佬友们注意那些标题党 7 个帖子 - 5 位参与者 阅读完整话题
写在前面 我相信有的佬友也想到了,gpt image 2发布后热度很高,而且效果更不用多说了,那么就引出了一个问题,是不是可能被诈骗人员利用上呢? 就连在L站发帖子,还得强调一下内容不是image 2生成的(只是感慨一下 )… 所以觉得各位佬友们,有必要提醒一下家里的长辈了!谨防诈骗! 【很可能是假的】GPT 5.5 有新的tokenizer?!?!给主人留下些什么吧 我真绷不住了,现在发帖还得特意说明不是image 2生成的了吗,足以证明image 2的权威了 问提示词是吧? GPT新画图模型可爱风格笔记提示词+内容直观展示提示词 搞七捻三 起因 GPT在灰度的画图模型非常非常强,我觉得也非常好用,然后为什么会有这篇帖子呢? 是这位佬友发了一张笔记图,我震惊了,这效果也太好了!于是我就找佬友要了提示词 然后我就想到,之前大香蕉有类似的提示词,在我们站内也是疯狂被引用被询问的: 我就想,那么按佬友的风格,让Claude去帮忙改一下提示词,做成一个模版化的提示词? 然后就有了以下图片 画图提示词.zip (14.… 7 个帖子 - 6 位参与者 阅读完整话题