小道消息紧急插播:近期区块链开发圈暗流涌动,一款名为JuanFranBlanco.solidit-vscode的可疑VSCode插件正在悄然扩散!据慢雾科技CISO 23pds曝料,这款插件不仅名称里的solidit拼错成”solidit”,下载量还被扒出是机器人刷单,妥妥的供应链攻击陷阱。
更诡异的是,这插件上线才两三天就火速窜红,明摆着冲着开发者偷袭。现在谁也不知道有多少人中招,但小道消息打听到,黑客最爱在npm包、编辑器插件里埋雷,尤其未经审核的第三方工具,分分钟能偷走你的密钥和源码。
慢雾老炮儿放话了:装插件前先查三件套——作者是不是野鸡团队?下载量有没有一夜暴涨?代码仓库敢不敢开源?顺便提醒各位,VSCode插件商店可不比苹果AppStore,官方压根不审核,手滑点安装的下一秒,说不定就成了黑客的肉鸡。这波操作,开发者们可得擦亮眼睛!