Web3求职者面试中遭遇恶意软件，个人钱包密钥被盗

安全公司MinimFog研究员邪恶余弦（@evilcos）近日披露，Web3领域求职者在面试过程中遭遇恶意代码攻击，导致钱包密钥等敏感信息被盗。

攻击者冒充区块链基础设施企业@seracleofficial，要求面试者进行代码审查。受害者在本地克隆运行了攻击者提供的Bitbucket代码库后，该程序立即扫描其计算机内所有.env文件，并将私人钱包密钥等重要信息传输至外部服务器。

安全警示与防护建议

MinimFog警告称，此类针对用户本地环境的恶意代码可窃取密码、钱包助记词、私钥等多种敏感数据。专家强烈建议，在需要检查或运行代码时，务必在沙箱或封闭虚拟环境中进行操作，严禁直接在正式运营设备上执行。