LinkedIn Web3 招聘钓鱼事件分析
背景
在某群中看到一位群友发消息说遇到了新型钓鱼攻击事件，他在领英上找Web3相关工作时，遇到了伪装成正规公司招聘的攻击者，在虚假面试通过后，攻击者要求群友拉取并继续开发某托管在Github上的公开项目，群友在调试运行该项目一段时间后，发现以太坊系账户和Solana账户均被盗，损失上千元。lz联系了群友要到了从github上下载的源代码包进行攻击向量分析，出于安全和法律的角度不会考虑将该攻击代码公布，以下是针对钓鱼项目的分析内容，分享一类新型钓鱼+免杀手段，希望可以帮助佬友丰富下攻击防范知识～ 
攻击分析
1. 伪装策略
代码伪装成一个支持加密货币支付的在线商店项目，旨在通过欺骗用户安装和运行来实施加密货币钱包盗取攻击。其中，README.md提供了看似合法的的安装说明，引导用户通过npm run, npm start, npm run dev执...