面試中的惡意程式碼：Web3 開發者成為 GitHub 部署詐騙的目標

安全研究人員在 SlowMist 發現了一個高級的詐騙方案，詐騙者冒充烏克蘭的 Web3 團隊，利用假面試作為掩護來散布被篡改的程式碼庫。在最近的一次事件中，一名開發者在面試過程中被要求在本地執行來自 GitHub 的程式碼——這個請求可能導致災難性後果。

攻擊機制：幕後發生了什麼

一旦執行，這個看似合法的程式碼庫會展開多階段攻擊。後門載荷會悄悄安裝惡意依賴，將受害者的開發環境轉變為數據竊取的門戶。惡意軟體特別針對：

• 瀏覽器存儲資料：Chrome 擴展和瀏覽器快取中的敏感配置檔
• 錢包憑證：存放在本地的私鑰、種子短語和助記詞創建模式
• 認證令牌：會話資料和 API 憑證，可能讓攻擊者取得用戶帳戶的存取權

一旦收集到所有資料，所有被盜資訊都會被傳送到攻擊者的指揮控制伺服器，使惡意行為者完全掌控受害者的數位資產與帳戶。

為何此攻擊有效

招聘面試營造出一種虛假的合法感。開發者會受到激勵，想要展現自己的能力並證明自己值得聘用。攻擊者利用這種心理動態，要求在「技術評估」中執行程式碼。目標通常是經驗豐富的開發者——也就是那些管理助記詞並持有大量加密貨幣的人。

重要的防禦措施

切勿執行來自未經驗證來源的程式碼，無論情境或社會壓力多大。在執行任何程式碼庫之前：

• 独立验证组织的官方网站和 LinkedIn 资料
• 只通过正规招聘渠道请求面试
• 在本地审查代码，先不要执行
• 使用隔离的虚拟机测试陌生的代码
• 严格区分开发环境与存放敏感密钥的钱包

此事件彰顯了社交工程結合技術利用仍是 Web3 中最有效的攻擊途徑之一。保持警惕並採取這些驗證步驟，可以避免災難性的損失。