原來除了詐騙之外,現在新的手法居然是針對工程師的,而且是透過 LinkedIn + GitHub 來傳遞惡意程式
而此惡意程式透過 VSCode 打開就會自動執行,於是造成大量金額的損失~
VSCode 自動執行造成的安全漏洞
主要手法:只要用 VSCode 開起來這個資料夾,電腦就中獎了~
面試詐騙的手法,文章可見:遇到面試詐騙 ,被盜走了 2 萬美金
- 求職詐騙手法再進化,鎖定專業技術人才
- 人資詐騙集團 以「檢視產品原型(MVP)」為由傳送 GitHub 連結
- MVP:最小可行產品,Minimum Viable Product
- 該工程師具備資安意識,僅使用編輯器檢視代碼並未直接執行,電腦仍遭植入惡意程式,導致虛擬貨幣錢包私鑰被盜,損失高達60萬元
- 自稱人資的女子在簡單交談後,聲稱公司有一款處於MVP(最小可行產品,Minimum Viable Product, MVP)階段的專案,邀請他下載GitHub上的代碼並提供意見
- 起初對方提供的GitHub帳號看似正常,卻在檢視過程中發現多處疑點
- 出於警覺,他使用AI工具「DeepWiki」與「Gemini CLI」掃描該專案,竟發現看似日常的代碼中藏有「遠端執行(Remote Execution)」的惡意指令
- 直言「如果當時沒有警覺,直接執行代碼,電腦上的所有機密資料可能都會被盜取,損失可能高達上百萬」
- 儘管該工程師已採取防禦措施,僅使用程式碼編輯器開啟文件進行靜態檢視,並未執行專案檔,但電腦防護網仍遭突破
- 駭客疑似利用編輯器漏洞或其他方式發動攻擊,導致其加密貨幣錢包的私鑰被竊取,帳戶內約60萬元的資產瞬間歸零
- 受害者總結這類「假徵才、真駭客」的詐騙特徵,包括不斷誘導求職者進行視訊會議、對關鍵問題避而不答,以及提供偽造活躍度與提交紀錄的GitHub專案
- 求職者在接收不明來源的檔案或連結時,務必提高警覺,切勿因對方看似專業的技術背景而掉以輕心
- 駭客疑似利用編輯器漏洞或其他方式發動攻擊,導致其加密貨幣錢包的私鑰被竊取
- 原作者的相關系列貼文
- https://www.threads.com/@haocherhong/post/DTPM7njkY-T
- https://www.threads.com/@haocherhong/post/DTPNytXEeLc
- https://www.threads.com/@haocherhong/post/DTPUwLHETXV
上述整理自此篇:工程師更新履歷慘噴60萬!假人資傳GitHub藏毒 他沒執行程式照樣被駭
