
慢雾:LinkedIn 招聘钓鱼分析
作者:23pds & Thinking
编辑:Liz
背景
近年来,在 LinkedIn 平台上针对区块链工程师的钓鱼事件时有发生,昨天,我们在 X 上注意到 @_swader_ 发布的一个帖子。这个遭遇其实是针对区块链工程师招聘钓鱼的一个缩影,接下来我们分析下这个案例。
(https://x.com/_swader_/status/1900116168544817589)
过程
根据 Bruno 的描述,一个自称是项目方的人主动联系到他,然后给他发了一段很长的项目介绍:
内容主要涉及一个区块链 Socifi 游戏和质押智能合约平台的招聘信息。
项目概述
该项目是一个基于 Socifi 游戏的质押智能合约平台。核心功能包括:
• 去中心化交易所
• 游戏
• 多游戏社区功能
• NFT 和代币(Tokens)
• 直播服务
招聘意图
• 寻找开发者加入该项目。
• 已经招聘了后端和智能合约开发人员。
• 推荐 Bruno Skvorc 担任项目经理/前端开发团队负责人。
MVP 设计
• 发送者提供了 Figma 设计链接,指向 MVP v2 版本。
招聘流程
-
背景调查
-
在线编程测试
-
技术面试
刚开始招聘人员含糊其辞,然后开始给 Bruno 打电话,试图传达紧迫感和重要性,并立即提供了 repo 链接:https://bitbucket[.]org/ventionteam/gameplatform/src/main/。
用户和提交代码的时间:
接下来我们分析下恶意代码。
技战法
我们看下代码说明:
那么它的真实功能是不是如此呢?
首先看下 package.json:
并没有发现恶意的第三方模块,看来不是通过恶意 NPM 包进行攻击。我们继续分析,当我们看到 server.js 时,如果不注意,看到第 47 行可能就结束了,毕竟一眼看过去似乎没什么异常。
但是,注意仔细看第 46 行,那是什么?而且有很小的水平滚动条,这表示右边有东西!我们拖过去看下:
这是一个加密的恶意 payload,它的具体作用是什么呢?我们看一下代码:
(上图为部分代码)
这是经过加密的代码,而且不止一层,base64 加密。
运行 npm start 后,会正常运行,那么这个 payload 究竟有什么用?
我们虚拟机运行一下测试(专业操作,请勿模仿)。
发现这个攻击手法各种混淆,解密比较麻烦,我们直接通过 Hook 手法把 C2 链接抓出来:
成功抓到恶意 IP:
-
216.173.115[.]200
-
95.179.135[.]133
-
45.59.163[.]56
-
45.59.1[.]2
-
5.135.5[.]48
恶意请求:http://216.173.115[.]200:1244/s/bc7302f71ff3。有趣的是,这个恶意请求竟然绕过了 little snitch 的监控检测。
攻击者会下载文件并执行,两个文件分别是 test.js 和 .npl。
该 .npl 木马主要用于权限维持:
这是 .npl 解码后的内容:
上述代码用于下载一个名为 pay 的 Python 程序,解码后的内容如下:
攻击者使用 Python 执行 .npl 用于维持权限。
test.js 主要用于盗取浏览器数据,如插件钱包数据、浏览器保存的账号密码等:
(test.js 代码部分片段)
解密(片段):
最终根据我们分析,一旦受害者运行代码,payload 将执行以下操作:
1. 收集系统/环境数据(主目录、平台、主机名、用户名等)。
2. 向远程服务器发出 HTTP 请求以获取其他数据或有效 payload。
3. 将获取的有效 payload 写入本地文件系统(通常在主目录中)。
4. 使用 Node 的 child_process.exec 执行这些有效 payload。
5. 继续回连或“回传”系统数据到 C2 服务器。
6. 每隔一段时间重复此活动,保持心跳包,如果初次尝试失败,则尝试多次。
7. 悄悄监控用户行为,为盗取加密资产等行为做准备,如代码中尝试读取特定目录 /Library/Keychains/(macOS 关键存储路径)、窃取 SSH 私钥、盗取浏览器插件数据、浏览器保存的账号密码等。
同时 @blackbigswan 发现相同的用户:
-
https://github[.]com/DavidDev0219
-
https://github[.]com/vention-dev
-
https://github[.]com/FortuneTechWorld
笔者猜测是同一批攻击者,不再做多余分析。
应对建议
攻击者通常会通过 Telegram、Discord、LinkedIn 发送恶意文件,针对这类钓鱼攻击,我们从用户和企业的角度提出以下应对建议:
用户
-
警惕要求下载或运行 GitHub 等平台代码的可疑招聘信息或兼职,优先通过企业官网、官方邮箱核实发件人身份,避免轻信“限时高薪任务”等诱导话术;
-
处理外部代码时,应严格审查项目来源及作者背景,拒绝运行未经验证的高风险项目,建议在虚拟机或沙盒环境执行可疑代码以隔离风险;
-
对 Telegram、Discord 等平台接收的文件保持警惕,禁用自动下载功能并手动扫描文件,警惕以“技术测试”为名的恶意脚本执行请求;
-
启用多因素认证并定期更换高强度密码,避免跨平台重复使用。
企业
-
定期组织员工参与钓鱼攻击模拟演练,培训识别仿冒域名及异常请求的能力;
-
部署邮件安全网关拦截恶意附件;
-
监控代码仓库敏感信息是否泄露;
-
建立钓鱼事件应急响应机制,通过技术防护与人员意识相结合的多维策略降低数据泄露与资产损失风险。
比推快讯
更多 >>- 数据:过去 1 小时 Binance 净流出 3,164.35 万 USDT
- 数据:当前加密恐慌贪婪指数为 51,处于中性状态
- 特朗普对纽约时报提起 150 亿美元诽谤诉讼,怒斥其沦为民主党“传声筒”
- 1confirmation 创始人评Base 考虑发币:若运营得当,BASE 可成为市值前五加密货币
- 全球首个 AI Agent 交易市场“MuleRun”正式上线
- 数据:欧元兑美元升至 1.1784,为 7 月 24 日以来最高水平
- Polymarket 上预测 9 月美联储决策交易量已超 1.3 亿美元
- Bitmine 增持后,以太坊财库实体持有 ETH 占总流通量比例已超 4%
- 币安稳定币储备达 400 亿美元,创历史新高
- Yala:新方案实施前应避免进行任何与 YU 和 YBTC 相关的交易或操作
- Talus 将于 9 月 18 日上线测试网
- 日经 225 指数受科技股推动一度飙升至历史新高
- 星展香港完成基于意向货币技术的数码港元+项目测试
- 美股上市公司 Reliance Global 将分阶段共投资 1.2 亿美元购买加密货币
- Avalon Labs 上线 BTCtreasuries,位列私营企业比特币持仓前五
- 鲸鱼在 PUMP 交易中扭亏为盈,获利 386 万美元
- RootData:BID 将于一周后解锁价值约 117 万美元的代币
- Project Hunt:固定利率协议 Flashstake 为过去 7 天被 Top 人物取关最多的项目
- Polymarket 与 Stocktwits 合作,提供实时盈利预测
- 观点:比特币卖压指标显示当前或已局部触底
- 港股上市公司比特策略增持 33.41 枚 BTC,目前比特币持仓量约为 43.41 枚
- Jito 转移价值 800 万美元 JTO 代币,或将交易卖出
- 鲸鱼交易员General Gordon James做多 BTC、ETH、SOL、SUI 等主流币,持仓价值达 1.45 亿美元
- 数据:昨日美国比特币现货 ETF 净流入 2.5892 亿美元
- 分析:当前市场投资者持谨慎观望态度,后续走势可参考鲸鱼群体动向
- 某鲸鱼解质押 53,194 枚 SOL 并全部卖出,获利约 320 万美元
- 上海法院首次成功处置刑事案件中的虚拟货币,9 万余枚 FIL 币完成变价处置
- pump.fun:昨日支付超 400 万美元奖励,大部分发给了首次创作者
- 德林控股拟从 Fortune Peak 处收购 2200 台比特币矿机
- 针对 NPM 供应链的攻击事件再次发生
- Web3 动作角色扮演游戏 RuneSoul 完成 400 万美元新一轮融资
- dAPP 基础设施 Epoch Protocol 完成 120 万美元融资,Alphemy Capital 等参投
- OpenSea:TGE 前的最后奖励阶段现已上线
- 某单一实体通过超 300 个地址在 AVNT 空投中获利 400 万美元
- Strategy 创始人等加密高管将参加华盛顿圆桌会议,推进美国战略比特币储备法案
- 云锋金融配售发行新股集资公约 11.7 亿港元,以支持推出全面虚拟资产交易服务
- 投行杰富瑞报告:比特币挖矿盈利下滑 5%
- The Fellowship PAC 承诺投入超 1 亿美元支持亲创新、亲加密货币的政治候选人
- 美参院以 48:47 确认米兰出任美联储理事
- MoonPay 收购加密支付初创企业 Meso Network,吸纳前 PayPal 和 Venmo 高管
- 渣打银行旗下 SC Ventures 计划为其数字资产领域新基金筹资 2.5 亿美元
- 数据:某鲸鱼近 4 天将 78 万枚 UNI 转入 CEX,价值约 756 万美元
- 数据:ETH 当前全网 8 小时平均资金费率为 0.0071%
- 美 CFTC 勒令加密借贷公司 Voyager 前 CEO 向受骗客户支付 75 万美元
- 美股上市公司 Next Technology Holding 拟发行最多 5 亿美元普通股,用途包含购入比特币
- Hyperliquid 推出 USDH 引发混战 SunPump 邀您共探稳定币的机遇与终
- 市场消息:美国上诉法院拒绝允许特朗普解除美联储理事库克
- USDD 2.0 第九期挖矿活动火热开启
- 比特币财库公司 Strive 启动 9.5 亿美元新资本计划,并公布董事会成员
- 上市公司 Next Technology 拟募集 5 亿美元,部分资金用于购买比特币
比推专栏
更多 >>观点
比推热门文章
- 1confirmation 创始人评Base 考虑发币:若运营得当,BASE 可成为市值前五加密货币
- 全球首个 AI Agent 交易市场“MuleRun”正式上线
- 数据:欧元兑美元升至 1.1784,为 7 月 24 日以来最高水平
- Polymarket 上预测 9 月美联储决策交易量已超 1.3 亿美元
- Bitmine 增持后,以太坊财库实体持有 ETH 占总流通量比例已超 4%
- 币安稳定币储备达 400 亿美元,创历史新高
- Yala:新方案实施前应避免进行任何与 YU 和 YBTC 相关的交易或操作
- Talus 将于 9 月 18 日上线测试网
- 日经 225 指数受科技股推动一度飙升至历史新高
- 星展香港完成基于意向货币技术的数码港元+项目测试