
慢雾:LinkedIn 招聘钓鱼分析
作者:23pds & Thinking
编辑:Liz
背景
近年来,在 LinkedIn 平台上针对区块链工程师的钓鱼事件时有发生,昨天,我们在 X 上注意到 @_swader_ 发布的一个帖子。这个遭遇其实是针对区块链工程师招聘钓鱼的一个缩影,接下来我们分析下这个案例。
(https://x.com/_swader_/status/1900116168544817589)
过程
根据 Bruno 的描述,一个自称是项目方的人主动联系到他,然后给他发了一段很长的项目介绍:
内容主要涉及一个区块链 Socifi 游戏和质押智能合约平台的招聘信息。
项目概述
该项目是一个基于 Socifi 游戏的质押智能合约平台。核心功能包括:
• 去中心化交易所
• 游戏
• 多游戏社区功能
• NFT 和代币(Tokens)
• 直播服务
招聘意图
• 寻找开发者加入该项目。
• 已经招聘了后端和智能合约开发人员。
• 推荐 Bruno Skvorc 担任项目经理/前端开发团队负责人。
MVP 设计
• 发送者提供了 Figma 设计链接,指向 MVP v2 版本。
招聘流程
-
背景调查
-
在线编程测试
-
技术面试
刚开始招聘人员含糊其辞,然后开始给 Bruno 打电话,试图传达紧迫感和重要性,并立即提供了 repo 链接:https://bitbucket[.]org/ventionteam/gameplatform/src/main/。
用户和提交代码的时间:
接下来我们分析下恶意代码。
技战法
我们看下代码说明:
那么它的真实功能是不是如此呢?
首先看下 package.json:
并没有发现恶意的第三方模块,看来不是通过恶意 NPM 包进行攻击。我们继续分析,当我们看到 server.js 时,如果不注意,看到第 47 行可能就结束了,毕竟一眼看过去似乎没什么异常。
但是,注意仔细看第 46 行,那是什么?而且有很小的水平滚动条,这表示右边有东西!我们拖过去看下:
这是一个加密的恶意 payload,它的具体作用是什么呢?我们看一下代码:
(上图为部分代码)
这是经过加密的代码,而且不止一层,base64 加密。
运行 npm start 后,会正常运行,那么这个 payload 究竟有什么用?
我们虚拟机运行一下测试(专业操作,请勿模仿)。
发现这个攻击手法各种混淆,解密比较麻烦,我们直接通过 Hook 手法把 C2 链接抓出来:
成功抓到恶意 IP:
-
216.173.115[.]200
-
95.179.135[.]133
-
45.59.163[.]56
-
45.59.1[.]2
-
5.135.5[.]48
恶意请求:http://216.173.115[.]200:1244/s/bc7302f71ff3。有趣的是,这个恶意请求竟然绕过了 little snitch 的监控检测。
攻击者会下载文件并执行,两个文件分别是 test.js 和 .npl。
该 .npl 木马主要用于权限维持:
这是 .npl 解码后的内容:
上述代码用于下载一个名为 pay 的 Python 程序,解码后的内容如下:
攻击者使用 Python 执行 .npl 用于维持权限。
test.js 主要用于盗取浏览器数据,如插件钱包数据、浏览器保存的账号密码等:
(test.js 代码部分片段)
解密(片段):
最终根据我们分析,一旦受害者运行代码,payload 将执行以下操作:
1. 收集系统/环境数据(主目录、平台、主机名、用户名等)。
2. 向远程服务器发出 HTTP 请求以获取其他数据或有效 payload。
3. 将获取的有效 payload 写入本地文件系统(通常在主目录中)。
4. 使用 Node 的 child_process.exec 执行这些有效 payload。
5. 继续回连或“回传”系统数据到 C2 服务器。
6. 每隔一段时间重复此活动,保持心跳包,如果初次尝试失败,则尝试多次。
7. 悄悄监控用户行为,为盗取加密资产等行为做准备,如代码中尝试读取特定目录 /Library/Keychains/(macOS 关键存储路径)、窃取 SSH 私钥、盗取浏览器插件数据、浏览器保存的账号密码等。
同时 @blackbigswan 发现相同的用户:
-
https://github[.]com/DavidDev0219
-
https://github[.]com/vention-dev
-
https://github[.]com/FortuneTechWorld
笔者猜测是同一批攻击者,不再做多余分析。
应对建议
攻击者通常会通过 Telegram、Discord、LinkedIn 发送恶意文件,针对这类钓鱼攻击,我们从用户和企业的角度提出以下应对建议:
用户
-
警惕要求下载或运行 GitHub 等平台代码的可疑招聘信息或兼职,优先通过企业官网、官方邮箱核实发件人身份,避免轻信“限时高薪任务”等诱导话术;
-
处理外部代码时,应严格审查项目来源及作者背景,拒绝运行未经验证的高风险项目,建议在虚拟机或沙盒环境执行可疑代码以隔离风险;
-
对 Telegram、Discord 等平台接收的文件保持警惕,禁用自动下载功能并手动扫描文件,警惕以“技术测试”为名的恶意脚本执行请求;
-
启用多因素认证并定期更换高强度密码,避免跨平台重复使用。
企业
-
定期组织员工参与钓鱼攻击模拟演练,培训识别仿冒域名及异常请求的能力;
-
部署邮件安全网关拦截恶意附件;
-
监控代码仓库敏感信息是否泄露;
-
建立钓鱼事件应急响应机制,通过技术防护与人员意识相结合的多维策略降低数据泄露与资产损失风险。
比推快讯
更多 >>- Bithumb 上线 Lombard(BARD)和 BitTensor(TAO)韩元交易对
- 特朗普签署《科技繁荣协议》,将 “ANTIFA” 列为恐怖组织
- LA 短时涨超 60%,市值升至 1.16 亿美元
- 某 BNB 钻石手 8 年前花费 1000 美元购入 999 枚 BNB,现价值 100 万美元,回报率高达 1000 倍
- 分析师:美联储成员分歧加剧市场不确定性
- CZ:BNB 8 年,从 0.1 美元到 1000 美元实现 10000 倍涨幅,这只是个开始
- 数据:监测到 5,542.75 万 USDT 转入 OKX
- 分析:美联储最终的降息幅度将超过其当前暗示的水平
- ASTER TGE 首日数据:ASTER 代币 24 小时交易量 3.45 亿美元,新增近 33 万名用户
- Orderly 上线 Solana 生态多重抵押功能,保证金支持 SOL 和 USDT
- 不丹政府转移 343.1 枚比特币或将再次存入 CEX
- 欧元信贷违约保险成本下降,风险资产投资意愿上升
- 某合约巨鲸 40 倍做空 700 枚比特币,爆仓价 114,560 美元
- 彭博社分析师:DOGE 现货 ETF DOJE、XRP 现货 ETF XRPR 有望于今天上市
- 美国银行:84%的美国投资者对加密货币的配置为 0
- 时隔两年重新建仓 ETH 的地址疑似已清仓,三个月获利 523 万美元
- 恐慌指数 VIX 触及近一周低点,现报 14.83
- 比特币提币趋势延续,过去 24 小时 CEX 净流出 7,918.29 枚比特币
- 博雅互动完成 3.7 亿港元比特币购买,购入约 411 枚比特币
- Binance 提前启动 APX 代币置换计划
- iZUMi Finance 联合纳斯达克上市公司 CIMG 共同推出 2000 万美元链上基金 Upstarts Fund
- 美联储降息后美元反弹,欧元从四年高位回落
- 数据:CoinGecko 调查显示 86.7% 受访者预测比特币将在 2025 年突破新高
- 美联储鹰派预期推动美元/日元汇率飙升
- 数据:过去 1 小时 Binance 净流出 3,587.39 万 USDT
- CryptoQuant:持有 1 万至 10 万枚 ETH 的鲸鱼未实现利润创 2021 年 11 月新高
- 欧股开盘走高,德国 DAX 指数涨超 1%
- 约 25%的 BTC 财库上市公司市值低于 BTC 持仓价值
- 美元指数 DXY 短线下挫,现报 97.06
- 某鲸鱼向 Binance 存入 5000 枚 ETH,或将获利 508 万美元
- Binance Alpha:DeAgentAI (AIA)空投门槛 200 积分
- 应用链基础设施 Syndicate 主网上线并 TGE,FDV 现报 18.4 亿美元
- 星展银行:美联储降息次数将少于市场预期
- 疑似朝鲜黑客数月前攻陷 Coinbase 印度外包公司,导致用户资产损失逾 4 亿美元
- 外媒:美国某廉价航空公司客机近日险与特朗普专机相撞
- 美联储降息或提振风险资产短期市场情绪
- Coindesk 记者锐评 KRW1 韩元稳定币:仅用于国内交易的稳定币毫无意义
- Ripple CEO:有信心 XRP 将被纳入白宫的加密储备,XRP ETF 或于年底前获批
- 美联储释放明确信号,Bolvin 称将采取审慎降息举措
- 数据:CryptoQuant 分析师:BTC 出现短期过热现象,此轮上涨已进入后期阶段
- 某巨鲸再次斥资 309 万美元购入 5.4 万余枚 HYPE,总持仓价值增至 5619 万美元
- 澳大利亚证券投资委员会放宽稳定币中介机构监管规定
- 某巨鲸过去 2 小时从币安提取 1.52 万枚 ETH,价值 7044 万美元
- CZ:BNB 创下历史新高,Keep Building
- 巴克莱:美联储利率路径风险倾向于推迟降息
- 巴林央行推出稳定币监管框架,拟允许法币抵押型稳定币
- 贝莱德:美联储降息前景取决于劳动力市场疲软程度
- 摩根大通:美国降息预期支撑新兴市场资产
- Coinbase CEO:加密市场结构法案有很大机会获得通过
- 日本服装零售商 Mac Housd 更名为 Gyet,新增多项加密业务
比推专栏
更多 >>观点
比推热门文章
- CZ:BNB 8 年,从 0.1 美元到 1000 美元实现 10000 倍涨幅,这只是个开始
- 数据:监测到 5,542.75 万 USDT 转入 OKX
- 分析:美联储最终的降息幅度将超过其当前暗示的水平
- ASTER TGE 首日数据:ASTER 代币 24 小时交易量 3.45 亿美元,新增近 33 万名用户
- Orderly 上线 Solana 生态多重抵押功能,保证金支持 SOL 和 USDT
- 不丹政府转移 343.1 枚比特币或将再次存入 CEX
- 欧元信贷违约保险成本下降,风险资产投资意愿上升
- 某合约巨鲸 40 倍做空 700 枚比特币,爆仓价 114,560 美元
- 彭博社分析师:DOGE 现货 ETF DOJE、XRP 现货 ETF XRPR 有望于今天上市
- 美国银行:84%的美国投资者对加密货币的配置为 0