sengle

其实如果 google scholar 不足以 show 出来的程度的话，没必要强求 phd 了，现在学术也很卷，没有长时间科研训练经历的话，完全进去从 0 开始太劣势了，到时候无法毕业或者陷入发表 paper 的内耗中，也不比现在的痛苦少。op 的优势在于家境优渥，人生容错大的多，这种情况下没必要拘泥于小镇做题家的思维。

我觉得 op 现在要不要在试用期走的判断标准可以有两个，第一是：两年结束挂职后，工作环境是否会依然如此痛苦，这个可能没有特别好确定的回答，可以多找人问问。第二是：op 是否是一个愿意折腾的人？ 如果这两个问题回答是，1.依然痛苦，2. 乐于折腾 那么我建议 op 立刻辞职，停止内耗，充分利用优渥家境享受人生，再慢慢决定后续人生去路。但如果答案不是这样，建议 op 先从自身下手，调整心态为重。否则无法做出较好的决策。

其实当时在大厂 offer 和 体制内 做决策的时候，op 应该已经深思熟虑过了，所以我我理解安安静静搞研究、写代码这种性格可能并不适合脱离体系再去折腾。只是 op 没有想到下基层之后的生活如此痛苦。我建议其实可以重考其他更适合岗位。有体制内朋友和我讲过：gwy 岗位好不好很大一个判断因素就是，是否需要和基层群众打交道。如果说等到 2 年后可以 确定回归市局，做一些不用和群众接触的工作的话，op 未尝不可坚持一下。但如果依然变化不大，那我觉得完全没必要继续内耗，早做选择，去寻找更适合自己的岗位。此外感觉 op 家中应该是没有体制内的关系或者亲朋好友，对 gwy 生活有过度美化，且当时岗位选择略微有些盲目，建议多找些体制内的朋友交流一下。

EFhiBtuxik33F4UnvRoQssWEUeeBGFxmQdCYAVYcWHi 谢谢 OP

好奇用的什么 LLM

https://coinmarketcap.com/charts/fear-and-greed-index

看起来 确实像是要到低点了

@zgzhang #13 我看第一段恶意代码中是直接把数据库文件 login.keychain 和 login.keychain-db 两个拿走了， 但是这俩是加密的。包括之前拿走的钱包的数据库文件，应该也是加密的。攻击者拿到之后一般就是两种方法，直接上密钥爆破，如果你用的是弱密钥应该也要不了多久。第二种应该就是涉及到二阶段的攻击行为了，一般可能会给你电脑下载一些木马，其中就包含一些键盘记录器，或者直接 hook 一些关键的系统接口。在你下一次输入密码或者使用这个插件的时候，自然就拿到你的密钥了。op 可以看一下系统记录，你运行完 npm start 后，再到钱包转账交易发生一共过了多久，中间是不是有过类似操作。

@jjijack chrome 浏览器插件也是重灾区了，还会无感自动更新。此外 chrome 里面保存密码也没多安全，只要在你电脑上可以执行代码，都能直接拿到密码明文。所以还是需要提高自己安全意识，对于陌生的、来历不明的项目还是谨慎运行。同时开发者群体天然的存在被攻击的劣势（本地环境什么的都配好了，就差人家给你代码运行一下了）。虽然很多时候 npm run 一把梭感觉很简单，但是具体的安装了什么依赖，执行了什么代码都是无感知的，尤其 npm 依赖关系很复杂，软件供应链攻击并不是说说而已。

先改重要密码，然后备份重要资料，再重装系统。这是最靠谱的，其他都是抱着侥幸心理。

此外，我看这个号是 15 天刚注册的新号。也不排除是钓鱼的，专门钓一些好奇心强的，大家可千万不要抱着试试的态度盲目在本地运行未知项目啊。

正好是做 JS 恶意代码分析相关的，就叫简单分析了一下这个项目。

首先，核心原理是你 npm start 运行这个项目后，项目里面存在一个后门函数会自动执行（伪装的比较好），这个函数会从远程下载一个 强混淆后的 JS 恶意代码（看到反调试之类的东西），然后执行后就把你本地浏览器中插件钱包的数据偷走了(里面就有存着私钥或者助记词的数据）。

说一下部分细节：
1. 项目中后门代码在这一行： https://github.com/onboarding-helper/real-world-asset/blob/5c9894415e64b0717b8ded1328b8248685a9fb46/api/config/getContract.js#L223
访问一个远程 URL 把里面的 err string 直接通过 js 运行时转换为代码执行。这个代码在你 npm start 后最终会调用触发到。

2. 这个返回 err string 是一个强混淆的 JS 代码，借助 LLM 简单反混淆分析了一下。他是一个适配了多端(win, macos, linux) 的数据窃取代码，会把多个浏览器下的多种钱包插件的本地存储目录内的关键内容打包，然后后传到他的 C2 去，并且还会从 C2 下载一个脚本，应该是后续的进一步攻击。看到的是浏览器包括 chrome ，brave ，firefox ，opera 这些。然后多种钱包插件都有针对包括 metamask ，Phantom ，binance 等等。

举个例子，比如你在 macos 上用的是 chrome 下的 Phantom 插件，他直接读取这个插件目录(~/Library/Application Support/Google/Chrome/Default/Local Extension Settings/bfnaelmomeimhlpmgjnjophhpkkoljpa)，把里面的.log 和 .ldb 文件传输回去，里面应该是可以恢复出来你钱包的助记词和私钥的, 这也就是热钱包的弊端。有了这些信息把你的资质自动转移就不是什么难题了。

3. 除了拿这些插件钱包的代码，我看到好像还有访问 macos 的 login.keychain ，chrome 等浏览器保存的密码(Login Data)，似乎还有针对 Exodus 桌面钱包的窃取逻辑。二阶段从 C2 服务器下载的东西 怎么执行的还没有详细分析，不确定有没有类似持久化的东西，建议 OP 先把涉及到的关键密码改一下，避免进一步损失，然后再详细排查其他风险。


最后，列一下涉及到的 IOC 吧，方便大家排查：
1. http[:]//chainlink-api-v3[.]com/api/service/token/3d5c7f64bbd450c5e85f0d1cf0202341 （最开始获取 混淆 js 代码的 URL ）
2. http[:]//146[.]70[.]253[.]107:1224 (二阶段 C2 地址)
3. https[:]//api[.]npoint[.]io/96979650f5739bcbaebb (应该是个配置选择，获取参数传给 C2 来拿到不同的 payload)


最最后，这种攻击从今年上半年开始就比较活跃了，但之前被发现都是在 Linkin 上钓鱼，所以国内受影响还是比较小。国外一些做供应链安全的厂商也有一些比较详细的分析报告了, 我看有部分 IOC 相同的，应该是同一个攻击组织。可以参考
https://socket.dev/blog/contagious-interview-campaign-escalates-67-malicious-npm-packages