LinkedIn 工作机会中的后门
攻击模式与普遍性
- 许多评论者报告了几乎一模一样的骗局:LinkedIn(有时还有 Upwork/电子邮件)上的加密货币/web3 工作“招聘人员”发送仓库或“VPN 客户端”,并施压候选人在本地运行代码。
- 手法包括:有问题的 PoC 仓库、“请修复已弃用模块 / 破损的安装”、伪造的 VPN 下载脚本,以及会提示连接钱包或触发 IDE 自动脚本的项目。
- 有人指出,这类骗局现在很常见,尤其围绕加密货币和游戏,并且特别针对可能持有凭证或供应链访问权限的开发者和维护者。
技术向量与 npm/供应链风险
- 核心向量:恶意的 npm 生命周期脚本(
prepare等)在npm install时运行,从而获得远程代码执行以及数据外泄/持久化。 - 一些人认为这是 npm 的设计缺陷;也有人说任何构建/测试系统都可能运行任意代码,npm 只是最流行、变化最频繁的那个。
- 讨论了 npm v12 的“更安全默认值”,以及打破工作流与减少攻击面之间的权衡。
- 会自动在仓库里运行
npm install的 LLM 代理被指出是新的风险放大器。
平台行为:LinkedIn、GitHub、Microsoft
- 多个报告称,恶意仓库和假招聘账号在被举报后仍然存在;移除速度很慢,甚至根本没有移除。
- LinkedIn 因以下问题受到批评:身份验证薄弱、公司无法否认虚假员工、滥用申诉处理差,以及骗局和低质量招聘内容越来越多。
- GitHub 对恶意仓库的处理被认为跟不上;有人甚至说,讽刺地,DMCA 比滥用举报更有效。
执法与“cyber 911”
- 大家一致认为这显然是犯罪,但实际执法很少,尤其是当攻击者位于不合作的司法辖区时。
- 讨论是否需要一个全球或国家级的“cyber 911”来协调响应,但也有人对资金、滥用和政府越权持怀疑态度。
- 文中提到美国的 FBI/IC3 等资源;使用体验从“没用”到偶尔有帮助不等。
对开发者的影响与防御实践
- 严峻的就业市场和生存压力使人们更容易忽视危险信号;有些人讲述了自己差点上当的经历。
- 建议的防御措施:绝不要在主力机器上运行不可信仓库;使用虚拟机/一次性 VPS;先阅读安装/测试脚本;拒绝把运行代码作为未筛查“面试”的一部分。
- 有些人主张尽量减少依赖和包管理器,或者对所有开发工具进行扫描和沙箱化——“给开发者用的杀毒软件”。