Entwickler hüten sich vor gefälschten Personalvermittlern auf LinkedIn oder The Legend of John (Jack) Hemm

Der Ansatz...enchanté

In dem Moment, als ich eine Nachricht von John (Jack) Hemm erhielt, wusste ich, dass etwas nicht ganz stimmte. Er behauptete, CEO eines selbstständigen Unternehmens zu sein, was meines Wissens nicht möglich ist, da es sich bei einem Unternehmen um eine eigenständige juristische Person handelt. Es sei denn natürlich, dieses Unternehmen erlangte irgendwie Bewusstsein, erklärte seine Unabhängigkeit, begann, Coffeeshop-Treffen zu organisieren und begann, sich auf LinkedIn zu vernetzen.

Das Profilbild sah auch etwas abwegig aus, ein bisschen wie Colonel Sanders als seltsamer Zauberer (oder vielleicht der Bösewicht in irgendeinem seltsamen Kung-Fu-Film aus den 80ern), aber KI-generiert? Ganz zu schweigen von der Tatsache, dass er behauptete, ein Pflichtverteidiger zu sein, während er gleichzeitig CEO eines selbstständigen Unternehmens war, das eine Chatbot-App mit OpenAI entwickelte. Um die Verwirrung noch zu verstärken, war sein Tippen so schlampig, dass ich mich fragte, ob er Analphabet war oder vielleicht hektisch an einem Zauberset von Paul Daniels herumfummelte, während er versuchte, mich zu betrügen.

Erkennen Sie den Anschein einer versteckten List, der reinen Hinterlist?

Hier ist die erste Nachricht:

Hallo Michael,

Ich bin John und CEO eines selbstständigen Unternehmens.

Derzeit werden wir die Benutzeroberfläche unserer KI-Chatbot-Anwendung aktualisieren.

Ich würde gerne mit Ihnen zusammenarbeiten, da ich Ihr Profil überprüft habe und glaube, dass Sie für diese Position gut geeignet sind.

Die Zusammenarbeit dauert derzeit 3 ​​Monate und wir sind bereit, 80–100 $ pro Stunde zu zahlen.

Wenn Sie nach einer neuen Möglichkeit suchen, lassen Sie uns mehr besprechen.

Mit freundlichen Grüßen

John.

Was würde er gerne mit mir machen? Ich glaube, er begann mit „Betrug“ im Sinn, wechselte dann zu „Arbeit“, aber dann führte ein moralischer Fehler in seinem Gehirn dazu, dass er das Wort völlig verlor. Ich war fasziniert und beschloss, mitzuspielen, nur um zu sehen, ob ich dieses Rätsel lösen könnte.

Die Handlung verdichtet sich

Ich antwortete, um mein Interesse zu bekunden, und er bot mir Zugriff auf ihr Repository an, um den Code auszuführen und den Fortschritt des Projekts zu überprüfen. Er hat mir auch einen Calendly-Link geschickt, um einen Anruf zu buchen.

Den Code untersuchen

Zu diesem Zeitpunkt wollte ich nur sehen, ob ich den Schadcode identifizieren konnte, und was ich am Ende fand, war ziemlich faszinierend.

Es dauerte nicht lange, bis ich schnell einige der Hauptdateien und insbesondere die Einstiegspunkte zur Anwendung durchging, als ich Folgendes fand:

Das Startskript wurde mit dem Pipe-Operator verwendet, was ungewöhnlich erscheint. Der Pipe-Operator leitet normalerweise die Ausgabe eines Befehls an einen anderen weiter, aber das macht hier keinen Sinn, da der Testbefehl eine Ausgabe generiert, die vom Startskript nicht verwendet werden kann. Dies deutet darauf hin, dass im Testskript etwas Bestimmtes passiert, das während des Startvorgangs ausgelöst werden soll. Darüber hinaus könnte die Einbeziehung von --openssl-legacy-provider auf einen Versuch hinweisen, strengere kryptografische Richtlinien zu umgehen, was auch dazu ausgenutzt werden könnte, die Sicherheit zu schwächen oder Schwachstellen einzuführen.

Also habe ich mir auf gitHub die Testdatei angesehen und Folgendes gesehen:

Auf den ersten Blick passiert hier nichts, nur eine Renderfunktion, die etwas auf der Konsole protokolliert, aber es fehlen Tests ... warum ist es also so wichtig, dies beim Start auszuführen?

hmmm, irgendetwas scheint nicht ganz richtig zu sein, also habe ich auf „Rohcode anzeigen“ geklickt und dann Folgendes gesehen:

loooooooooooooooooool
Bingo eine Menge verschleierter Code, die Datei muss etwas JavaScript enthalten, das ändert, was Sie sehen, wenn Sie es in der GitHubs-Benutzeroberfläche anzeigen.

Ich habe es wie folgt in einen Deobfuscator geworfen:

Und dann habe ich den Schadcode gesehen, dessen Lesen absolute Kopfschmerzen bereitet, also habe ich ihn einfach zum Entschlüsseln in chatGPT geschmissen und Folgendes gefunden:

Wichtige Beobachtungen:

1. Verschleierung:
   • Der Code verwendet stark verschleierte Variablennamen und Logik, was das direkte Lesen erschwert.
   • Funktionen wie _0x40b9, _0x37be und _0x3f8d69 sind wahrscheinlich dazu gedacht, andere Teile des Skripts zu dekodieren oder neu zuzuordnen.
2. Verhalten:
   • Das Skript sammelt sensible Daten vom Host-Computer, wie zum Beispiel:
   • Browserdaten: Es durchsucht Verzeichnisse im Zusammenhang mit Chrome, Brave und anderen Browsern nach Profilen und Anmeldedaten.
   • Systeminformationen: Liest Hostnamen, Plattformen, Home-Verzeichnisse, temporäre Verzeichnisse und System-Schlüsselanhänger.
   • Dateien werden auf einen Remote-Server unter http://185.153.182.241:1224 hochgeladen.
3. Potenzielle böswillige Absicht:
   • Das Skript greift auf vertrauliche Verzeichnisse zu (~/AppData, ~/.config, ~/Library usw.).
   • Versuche, Browsererweiterungen und gespeicherte Daten zu lesen und an einen Remote-Endpunkt zu senden.
   • Ruft Code von einem Remote-Server (/client/106/314 und /pdown) ab und führt ihn aus.
4. Indikatoren für Kompromisse:
   • Erstellt Dateien in Verzeichnissen wie /.pyp/, /.sysinfo und .config/solana/id.json und führt sie aus.
   • Kontinuierliche Wiederholung von Aktionen über Schleifen und Intervalle (z. B. setInterval alle 20 Sekunden und 300 Sekunden).
5. Ausführung:
   • Erzeugt Unterprozesse über child_process.exec, z. B. das Extrahieren von Dateien oder das Ausführen von Python-Skripten.

Bei diesem Skript handelt es sich höchstwahrscheinlich um Malware, die darauf abzielt, vertrauliche Daten zu stehlen und zusätzliche bösartige Payloads auszuführen. Es zielt auf mehrere Plattformen (Windows, Linux und macOS) und Browser ab und exfiltriert Daten an einen Remote-Server.

Die Risiken

Hier ist das Schlimmste, was passieren könnte, wenn Sie ein Skript wie dieses ausführen –

• Datendiebstahl:
  • Diebstahl sensibler Dateien wie Browser-Anmeldeinformationen, Kryptowährungs-Wallet-Daten und Systemkonfigurationsdateien.
• Systemkompromiss:
  • Fernausführung zusätzlicher bösartiger Payloads (z. B. Ransomware, Spyware oder Hintertüren), wodurch der Angreifer mehr Kontrolle über Ihr System erhält.
• Finanzieller Verlust:
  • Unberechtigter Zugriff auf Kryptowährungs-Wallets oder gespeicherte Finanzdaten könnte zum Diebstahl von Geldern führen.
• Identitätsdiebstahl:
  • Personenbezogene Daten, die aus Ihrem System herausgefiltert werden, könnten für Identitätsdiebstahl verwendet oder im Dark Web verkauft werden.
• Systeminstabilität und Fehlfunktion:
  • Die Persistenzmechanismen der Malware und Änderungen an Dateien oder Systemeinstellungen können zu Instabilität, Verlangsamung oder Abstürzen führen.

Der unhöfliche Abschied ... und der paranoide Rückstand

Nachdem ich ihn auf frischer Tat ertappt hatte, schickte ich die folgende Nachricht auf LinkedIn:

Hey John,

Ich habe den Code ausgeführt, den Sie mir geschickt haben. Sofort füllte sich mein Bildschirm mit etwas, das wie Hieroglyphen aussah, und jetzt heißt mein WLAN-Netzwerk „Capybara Uprising HQ“.

Wenige Augenblicke später tauchte eine Bande Wasserschweine mit kleinen Westen und Hüten an meiner Tür auf und forderte mich auf, einen von ihnen zu meinem „Chief Snacks Officer“ zu ernennen. Seitdem haben sie mein Wohnzimmer übernommen und es in eine winzige Kommandostation verwandelt. Wie gehe ich mit den nächsten Schritten vor?

An diesem Punkt erhielt ich ein Fragezeichen und sein Konto schien sich selbst zu kündigen. Er blockierte mich und ich meldete sie sowohl auf LinkedIn als auch auf GitHub.

Ich habe etwas recherchiert und herausgefunden, dass der Anwalt echt ist. Entweder gibt sich jemand für ihn aus, sie haben diese Seite so eingerichtet, dass sie seriös erscheint, oder John – oder Jack, oder wie auch immer er heißt – kanalisiert einen Untergang im Stil von „Better Call Saul“ und versucht sich an schändlichen Aktivitäten. Schreiben Sie, wenn Sie einen Pflichtverteidiger brauchen.

https://www.dunganattorney.com/attorney/hemm-john-e-jack/

(unabhängiger Link)

Wie auch immer, die Moral der Geschichte ist...

Wenn du im Spiegel 20 Mal im Dunkeln „John Jack Hemm“ sagst, spawnt er offenbar hinter dir und aus seinem Hals wächst ein kleiner Paul-Daniels-Kopf wie ein Monster von dem Ding (er ist auch aufgebockt, also kannst du) Er versucht es mit einem seltsamen Zaubertrick, der fehlschlägt, und schließt dann Github an Ihr Gehirn an und lädt jedes einzelne Repository herunter … Nein.

Nein, im Ernst, es gibt viele Betrüger da draußen, insbesondere auf LinkedIn, und ich vermute, dass einige von ihnen viel raffinierter sein werden als dieser, also seien Sie vorsichtig.

Das obige ist der detaillierte Inhalt vonEntwickler hüten sich vor gefälschten Personalvermittlern auf LinkedIn oder The Legend of John (Jack) Hemm. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!