面试中的恶意代码：Web3开发者通过GitHub部署骗局成为目标

安全研究人员在SlowMist发现了一种复杂的骗局，骗子冒充乌克兰的Web3团队，利用假面试作为掩护，分发被篡改的代码仓库。在最近的一起事件中，一名开发者在面试过程中被要求在本地执行来自GitHub仓库的代码——这一请求可能导致灾难性后果。

攻击机制：幕后发生了什么

一旦执行，表面上合法的仓库会启动多阶段攻击。后门载荷会悄无声息地安装恶意依赖，将受害者的开发环境变成数据窃取的入口。恶意软件特别针对：

• 浏览器存储数据：Chrome扩展程序和浏览器缓存中的敏感配置文件
• 钱包凭证：存储在本地的私钥、助记词和助记符创建模式
• 认证令牌：会话数据和API凭证，可能让攻击者访问用户账户

所有被窃取的信息一旦收集完毕，都会被传输到攻击者的指挥控制服务器，使恶意行为者完全掌控受害者的数字资产和账户。

为什么此类攻击有效

招聘面试营造出一种虚假的合法感。开发者会受到激励，展示自己的能力，证明自己对潜在雇主的价值。通过在“技术评估”中要求代码执行，攻击者利用了这种心理动态。目标通常是有经验的开发者——正是管理助记词和持有大量加密货币的人群。

关键防御措施

切勿在未验证来源的情况下执行代码，无论在何种情境或面对何种社会压力。在运行任何仓库之前：

• 独立验证组织的官方网站和LinkedIn资料
• 仅通过正规招聘渠道请求面试
• 在本地审查代码，先不要执行
• 使用隔离的虚拟机测试陌生代码
• 严格区分开发环境和存有敏感密钥的钱包

此事件彰显了社会工程学结合技术利用仍然是Web3中最有效的攻击途径之一。保持警惕，采取这些验证措施，可以避免灾难性的损失。