开发者遭遇精密求职骗局：我放松了警惕，运行了那段代码

一切从一条 LinkedIn 消息开始，如今许多就业诈骗都是如此开场的。

一名自称供职于区块链公司 Genusix Labs 的招聘人员，向塞尔维亚籍网页开发者鲍里斯·武伊契奇发出邀请，希望他应聘该公司的全职远程开发岗位。

武伊契奇对招聘诈骗并不陌生。他告诉我们，这类消息每天都有，他个人单日收到的最高纪录是八条。此外，他曾供职于 Step Finance，该去中心化金融平台早些时候因遭遇安全漏洞及随后的 4000 万美元加密货币盗窃事件而被迫关闭。

"所有我认识的、在加密货币领域找工作的人，都是这类攻击的目标，"武伊契奇在接受采访时表示。

他通常会无视这类消息，有时也会故意与发件人周旋，"浪费他们的时间，同时挑战自己去找出他们藏匿病毒的位置。"

然而这次看起来格外真实。该公司在 LinkedIn 上有主页，还有一个看起来平平无奇的官网，上面附有"领导团队"的照片，这些人的形象与主动联系武伊契奇、安排面试的人完全吻合。与 HR 的第一轮面试——对方是网站上有姓名和照片的员工 Zam Villalon——是一场开摄像头的 Zoom 视频通话，"看起来完全不像廉价换脸，"武伊契奇说。

"感觉非常自然，她的脸看起来不像是假的，英语也非常流利，没有任何异常，"他回忆道。

武伊契奇同意进入第二轮：与两名工程师进行的技术面试，其中一人同样在公司官网上有姓名和照片。整个面试过程同样没有任何异样，武伊契奇表示他甚至很享受这次交流。三人还一起开玩笑聊起了针对开发者和加密公司的各种求职诈骗。

面试结束时，工程师们询问是否可以发给武伊契奇一个在线编程测试，他答应了。

"在运行之前，我说我会先检查有没有可疑的东西，"他在一系列 X 帖子中详述了这段被骗经历，"他们笑着说：'随便查，找后门也行。'"

骗子告诉他："检查代码，确认没有问题。你可以在任何云环境里运行，"武伊契奇告诉我们，"他们的话让我放松了警惕——他们做得非常好——让我就这么运行了那段该死的代码。"

他真的运行了那段代码。随后，一个 macOS 弹窗出现了："patch[.]sh 请求以后台进程方式运行。"

武伊契奇立刻结束了面试，关掉了 Wi-Fi，开始追踪恶意脚本，最终在电脑上一个名为 camdriver[.]sh 的临时摄像头驱动文件夹中找到了它。"这个脚本非常精妙，代码写得很漂亮——我很欣赏，"他说，"写这段代码的人非常聪明。"

他说，此次攻击"藏在某个依赖项的依赖项里面"，当他运行了那个伪装成编程测试的项目后，一个 Shell 脚本在后台悄悄执行，毫无异常迹象。

"它会检测你的 CPU 架构，然后根据结果下载对应的病毒，"他说，并补充道，该代码还会将自身设置为每次开机时自动重启。

随后，程序下载了一个用 Go 语言编写的后门，使用自定义 RC4 加密协议，具备执行 Shell 命令、窃取文件、提取 Chrome 密码、导出 Keychain 数据以及攻击加密钱包等功能。

武伊契奇立刻停止了机器上所有正在运行的恶意脚本，并逐文件手动清除了恶意软件。

尽管如此，在他关闭 Wi-Fi 之前的短短 56 秒内，攻击者已经收集了 634 个 Chrome 保存的密码、武伊契奇的 macOS Keychain 数据以及他的 MetaMask 钱包数据。"所有保存的密码——银行、邮箱、GitHub——在他们那端都是明文可读的，"武伊契奇在 X 上写道。

此后他已更改了所有密码，并告诉我们，这次数字盗窃并未造成加密资产损失。

武伊契奇说，意识到自己被骗后，最初的感受是羞愧。"我当时心想：为什么？我怎么这么蠢？我怎么会这样做？"

他起初告诉那些"工程师"，他不太愿意直接运行 GitHub 仓库，据他说，对方提出可以换一种方式进行编程测试，比如使用在线编辑器。"他们并没有强迫我运行，"武伊契奇说，正是这种不施压的态度，让他放松了戒备，最终信任了那些骗子并运行了代码。

武伊契奇随后向 npm 和 GitHub 举报了该虚假公司的代码仓库，向 LinkedIn 举报了 Genusix 的相关主页，向托管服务商 HostGator 举报了该域名，并向 AbuseRadar 举报了相关 IP 地址。

他还将所有日志和样本转交给了曾调查 Step Finance 安全事件的应急响应机构 zeroShadow。武伊契奇告诉我们，这家区块链情报公司认为，此前的公司入侵事件和针对他本人的招聘诈骗，背后都指向与朝鲜政府有关联的攻击者。他表示，两起事件使用了相同的代码和相同的攻击手法。

"这非常可怕，"他说，"诈骗手段正变得越来越精密。你怎么可能不上当？"

武伊契奇已经能看到这类攻击的演进方向。"如果他们进行正常面试，完全不推送任何需要我点击的可疑链接，我们谈好薪资，他们发来合同，然后说'来我们这里工作吧'。"

如此一来，武伊契奇——或者任何一位开发者——就会以为自己真的被录用成了远程员工，然后被邀请加入公司的 Slack 频道或 Discord 服务器。"他们可以给我发假的入职材料，分配假的工作任务，然后在一两天内植入病毒。"

接下来便是窃取凭证、清空加密钱包、感染代码仓库、入侵 CI/CD 流水线——这正是我们在近期针对开发者的攻击事件中反复看到的模式。

谈到那些企图窃取开发者机密并攻破其工作环境的骗子，武伊契奇担忧地说："那是即将到来的下一步——如果现在还没有发生的话。"

Q&A

Q1：Genusix Labs 招聘骗局是如何运作的？

A：骗子通过 LinkedIn 发送招聘消息，伪造公司官网、领导团队照片，并安排多轮真实感极强的视频面试，甚至开摄像头。在取得求职者信任后，以"在线编程测试"为由，诱导对方运行含有恶意脚本的代码仓库。一旦运行，后台脚本便会悄悄下载后门程序，窃取 Chrome 密码、系统 Keychain 数据及加密钱包信息，整个过程极难察觉。

Q2：开发者如何防范这类精密的求职诈骗？

A：核心原则是：永远不要在本地直接运行陌生来源的代码，即使对方表现得毫无施压感。建议在完全隔离的虚拟机或沙盒环境中运行任何测试代码，仔细审查所有依赖项，并留意 macOS 或系统级别的权限弹窗。此外，对于主动联系的招聘方，应通过官方渠道独立核实公司和人员身份，而非仅凭对方提供的链接或网站判断。

Q3：此次攻击背后是谁？使用了哪些技术手段？

A：区块链情报公司 zeroShadow 分析认为，此次针对武伊契奇的招聘诈骗与此前 Step Finance 的入侵事件使用了相同的代码和战术，两者均指向与朝鲜政府有关联的攻击者。技术层面，攻击者在依赖项中隐藏 Shell 脚本，根据 CPU 架构下载对应恶意载荷，并部署了使用自定义 RC4 加密协议的 Go 语言后门，具备密码窃取、Keychain 导出及加密钱包攻击等多种能力。