LinkedIn की नौकरी के ऑफ़र में एक बैकडोर
हमले का पैटर्न और व्यापकता
- कई टिप्पणीकार लगभग समान स्कैम रिपोर्ट करते हैं: LinkedIn (और कभी-कभी Upwork/email) पर crypto/web3 नौकरियों के लिए “recruiters” ऐसे repos या “VPN clients” भेजते हैं और उम्मीदवारों पर स्थानीय रूप से code चलाने का दबाव बनाते हैं।
- तरकीबों में शामिल हैं: टूटे हुए PoC repos, “please fix deprecated modules / broken install,” नकली VPN डाउनलोड स्क्रिप्ट, और ऐसे projects जो wallet connections या IDE auto-scripts ट्रिगर करते हैं।
- कई लोग कहते हैं कि यह अब आम हो गया है, खासकर crypto और gaming के आसपास, और खास तौर पर developers और maintainers को निशाना बनाता है जिनके पास credentials या supply‑chain access हो सकता है।
तकनीकी वेक्टर और npm/supply-chain जोखिम
- मुख्य वेक्टर: malicious npm lifecycle scripts (
prepareetc.) जोnpm installपर चलते हैं, और remote code execution तथा data exfiltration/persistence सक्षम करते हैं। - कुछ लोग तर्क देते हैं कि यह npm की design flaw है; अन्य कहते हैं कि कोई भी build/test system arbitrary code चला सकता है, npm बस सबसे लोकप्रिय और churn-heavy है।
- npm v12 के “more secure defaults” और workflows तोड़ने बनाम attack surface घटाने के trade-off पर चर्चा।
- ऐसे LLM agents जो repos में
npm installauto-run करते हैं, उन्हें एक नए risk amplifier के रूप में चिह्नित किया गया है।
Platform behavior: LinkedIn, GitHub, Microsoft
- कई रिपोर्टों में कहा गया कि malicious repos और fake recruiter accounts, रिपोर्ट किए जाने के बाद भी, बने रहे; removals धीमी हैं या होते ही नहीं।
- LinkedIn की आलोचना की गई: कमजोर identity verification, कंपनियों के लिए fake employees से disavow करने का तरीका नहीं, abuse redress खराब, और scams तथा low‑quality job content की बढ़ती मात्रा।
- GitHub का malicious repos संभालना धीमा माना गया; कुछ लोग कहते हैं कि ironical रूप से DMCA, abuse reports से अधिक प्रभावी है।
Law enforcement और “cyber 911”
- सहमति है कि यह स्पष्ट रूप से criminal है, लेकिन practical enforcement दुर्लभ है, खासकर जब attackers असहयोगी jurisdictions में हों।
- coordinated response के लिए global या national “cyber 911” पर बहस, बनाम funding, abuse, और government overreach को लेकर skepticism।
- FBI/IC3 जैसे US resources का उल्लेख है; अनुभव “useless” से लेकर कभी-कभी helpful तक हैं।
डेवलपर्स पर प्रभाव और defensive practices
- कठिन job market और desperation लोगों को red flags अनदेखा करने के लिए अधिक प्रवृत्त करती है; कुछ लोग बताते हैं कि वे लगभग इन scams में फँस गए थे।
- सुझाई गई defenses: अपने main machine पर कभी भी untrusted repos न चलाएँ; VMs/throwaway VPS का उपयोग करें; install/test scripts पहले पढ़ें; unscreened “interview” के हिस्से के रूप में code चलाने से इनकार करें।
- कुछ लोग dependencies और package managers को कम करने, या सभी dev tooling को scan और sandbox करने—developers के लिए “antivirus”—का समर्थन करते हैं।