吴说获悉,加密研究员 @LehmannLorenz 发推表示,他的电脑差点被一个恶意的代码扩展程序攻破。该扩展程序由未经验证的开发者发布,却在一天内获得了 170 万次下载和满分评价。恶意代码通过混淆的 JavaScript 文件下载并执行了一个来自俄罗斯服务器的文件,使用 PowerShell 进行无文件攻击,这类攻击不在硬盘上留下痕迹,难以被检测到。 慢雾余弦对此回复表示,这是供应链撒网攻击 Solidity 智能合约开发者。编辑器环境是供应链攻击的高危区。我一直以来能隔离使用的都尽量隔离使用,能不安装的尽量不安装,确保 “够用即可” 原则。花里胡哨的都扔独立电脑或虚拟机里。