개발자는 linkedIn 또는 The Legend of John (Jack) Hemm의 가짜 채용 담당자를 조심하세요.

접근 방식... 마법

John (Jack) Hemm으로부터 메시지를 받은 순간 뭔가 잘못되었다는 것을 알았습니다. 그는 자영업의 CEO라고 주장했는데, 회사는 별도의 법인이기 때문에 제가 아는 한 불가능한 일입니다. 물론 이 회사가 어떻게든 감각을 얻고, 독립을 선언하고, 커피숍 모임을 조직하고, 링크드인에서 네트워킹을 시작하지 않는 한.

프로필 사진도 약간 이상해 보였습니다. 이상한 마술사(또는 이상한 80년대 쿵푸 영화에 나오는 악당) 샌더스 대령과 비슷했지만 AI가 생성한 것일까요? 그가 국선 변호인이라고 주장하는 동시에 OpenAI를 사용하여 챗봇 앱을 개발하는 자영업자의 CEO라는 사실은 말할 것도 없습니다. 더욱 혼란스러운 점은 그의 타이핑이 너무 엉성해서 그가 문맹인지 아니면 폴 다니엘스 마술 세트를 미친 듯이 만지작거리며 나를 사기를 치는 것이 아닐까 하는 생각이 들 정도였습니다.

숨겨진 속임수, 순수한 사악함의 모습이 보이시나요?

첫 번째 메시지는 다음과 같습니다.

안녕하세요 마이클님,

저는 자영업의 CEO인 John입니다.

현재 AI 챗봇 애플리케이션 UI를 업데이트할 예정입니다.

귀하의 프로필을 검토한 결과 귀하가 이 직책에 적합할 것으로 판단되어 귀하와 함께 하고 싶습니다.

현재 콜라보 기간은 3개월이며 시간당 $80~100 정도 지불 가능합니다.

새로운 기회를 찾고 있다면 더 자세히 논의해 보세요.

감사합니다.

존.

그 사람은 나와 무엇을 하고 싶어 할까요? 내 생각에 그는 "사기"를 염두에 두고 시작한 다음 "일"로 전환했지만 그의 두뇌에 있는 어떤 도덕적 결함으로 인해 그 단어를 완전히 잃어버렸습니다. 호기심이 생겨서 이 미스터리를 풀 수 있을지 알아보기 위해 함께 놀기로 했습니다.

줄거리가 두꺼워진다

저는 관심을 표현하기 위해 답장을 보냈고 그는 코드를 실행하고 프로젝트 진행 상황을 확인할 수 있는 저장소에 대한 액세스를 제게 제안했습니다. 전화 예약을 위한 Calendly 링크도 보내주셨어요.

코드 조사

이 시점에서는 악성 코드를 식별할 수 있는지 알아보는 데 관심이 있었고, 결국 발견한 내용은 매우 흥미로웠습니다.

몇 가지 기본 파일을 신속하게 검토하는 데 오랜 시간이 걸리지 않았으며, 특히 다음 항목을 발견했을 때 애플리케이션의 진입점을 확인했습니다.

시작 스크립트가 파이프 연산자와 함께 사용되었는데, 이는 특이한 것 같습니다. 파이프 연산자는 일반적으로 한 명령의 출력을 다른 명령으로 전달하지만 테스트 명령이 시작 스크립트에서 사용할 수 없는 출력을 생성하므로 여기서는 의미가 없습니다. 이는 시작 프로세스 중에 트리거하려는 테스트 스크립트에서 특정한 일이 발생하고 있음을 나타냅니다. 또한 --openssl-legacy-provider가 포함되어 있으면 더 엄격한 암호화 정책을 우회하려는 시도가 있을 수 있으며, 이는 보안을 약화시키거나 취약점을 도입하는 데 악용될 수도 있습니다.

그래서 gitHub에서 테스트 파일을 살펴보고 다음을 확인했습니다.

얼핏 보면 여기서는 아무 일도 일어나지 않고 콘솔에 무언가를 기록하는 렌더링 기능만 있을 뿐 테스트는 없습니다. 그런데 시작할 때 이것을 실행하는 것이 왜 그렇게 중요한가요?

흠 뭔가 잘못된 것 같아서 원시 코드 보기를 클릭했는데 다음이 표시되었습니다.

ㅋㅋㅋㅋㅋㅋㅋㅋㅋ
빙고 난독화된 코드 묶음입니다. 파일에는 GitHub UI에서 볼 때 표시되는 내용을 수정하는 일부 JavaScript가 포함되어 있어야 합니다.

다음과 같이 Deobfuscator에 던졌습니다.

그런 다음 악성 코드를 발견했습니다. 읽기가 너무 힘들어서 chatGPT에 넣어서 해독했는데, 발견한 내용은 다음과 같습니다.

주요 관찰:

1. 난독화:
   • 코드는 난독화된 변수 이름과 로직을 사용하므로 직접 읽기가 어렵습니다.
   • _0x40b9, _0x37be 및 _0x3f8d69와 같은 함수는 스크립트의 다른 부분을 디코딩하거나 다시 매핑하도록 설계되었을 가능성이 높습니다.
2. 행동:
   • 스크립트는 호스트 시스템에서 다음과 같은 민감한 데이터를 수집합니다.
   • 브라우저 데이터: Chrome, Brave 및 기타 브라우저와 관련된 디렉토리에서 프로필 및 로그인 데이터를 검색합니다.
   • 시스템 정보: 호스트 이름, 플랫폼, 홈 디렉터리, 임시 디렉터리 및 시스템 키체인을 읽습니다.
   • 파일은 http://185.153.182.241:1224의 원격 서버에 업로드됩니다.
3. 잠재적인 악의적 의도:
   • 스크립트는 민감한 디렉터리(~/AppData, ~/.config, ~/Library 등)에 액세스합니다.
   • 브라우저 확장 프로그램과 저장된 데이터를 읽고 원격 엔드포인트로 보내려고 시도합니다.
   • 원격 서버(/client/106/314 및 /pdown)에서 코드를 가져와 실행합니다.
4. 침해 지표:
   • /.pyp/, /.sysinfo, .config/solana/id.json과 같은 디렉터리에 파일을 생성하고 실행합니다.
   • 루프와 간격을 통해 지속적으로 작업을 재시도합니다(예: 20초와 300초마다 setInterval).
5. 실행:
   • child_process.exec를 통해 파일 추출이나 Python 스크립트 실행과 같은 하위 프로세스를 생성합니다.

이 스크립트는 민감한 데이터를 도용하고 추가 악성 페이로드를 실행하도록 설계된 악성 코드임이 거의 확실합니다. 여러 플랫폼(Windows, Linux, macOS)과 브라우저를 대상으로 데이터를 원격 서버로 유출합니다.

위험

이런 스크립트를 실행하면 일어날 수 있는 최악의 상황은 다음과 같습니다.

• 데이터 도난:
  • 브라우저 자격 증명, 암호화폐 지갑 데이터, 시스템 구성 파일과 같은 민감한 파일의 도난.
• 시스템 손상:
  • 추가 악성 페이로드(예: 랜섬웨어, 스파이웨어 또는 백도어)를 원격으로 실행하여 공격자가 시스템을 추가로 제어할 수 있게 합니다.
• 재정적 손실:
  • 암호화폐 지갑이나 저장된 금융 자격 증명에 대한 무단 접근으로 인해 자금이 도난당할 수 있습니다.
• 신분 도용:
  • 시스템에서 유출된 개인 데이터는 신원 도용에 사용되거나 다크 웹에서 판매될 수 있습니다.
• 시스템 불안정 및 오작동:
  • 맬웨어의 지속성 메커니즘과 파일 또는 시스템 설정 수정으로 인해 불안정성, 속도 저하 또는 충돌이 발생할 수 있습니다.

무례한 작별 인사... 그리고 편집증적 잔여물

그 사람을 적발한 후 링크드인에 다음 메시지를 보냈습니다.

안녕하세요 존

보내주신 코드를 실행해봤습니다. 즉시 내 화면은 상형문자처럼 보였으며 이제 내 Wi-Fi 네트워크 이름은 '카피바라 봉기 본부'로 표시되었습니다.

잠시 후, 작은 조끼와 모자를 쓴 카피바라 무리가 우리 집 문 앞에 나타나서 한 사람을 '과자 담당 최고 책임자'로 임명하라고 요구했습니다. 그 이후로 그들은 내 거실을 점거하여 작은 지휘소로 바꾸었습니다. 다음 단계는 어떻게 진행하나요?

그때 물음표가 떴고, 그 사람 계정이 자동 종료되는 것 같았고, 그 사람이 저를 차단했고, 저는 LinkedIn과 GitHub에 모두 신고했습니다.

좀 찾아보니 그 변호사가 진짜인 것으로 드러났어요. 누군가 그를 사칭하거나 합법적인 것처럼 보이도록 이 사이트를 설정했거나, John 또는 Jack 또는 그의 이름이 무엇이든 간에 Better Call Saul 스타일의 몰락을 유도하고 사악한 활동에 손을 대고 있습니다.

국선변호인이 필요하시면 외쳐주세요.
https://www.dunganattorney.com/attorney/hemm-john-e-jack/
(제휴링크)

어쨌든 이야기의 교훈은...

어두운 거울 속에서 John Jack Hemm을 20번 말하면 분명히 그 사람은 마치 괴물처럼 목에서 폴 다니엘스의 작은 머리가 자라난 채 여러분 뒤에 나타날 것입니다. 탈출하지 않음) 그는 이상한 마술을 시도했지만 실패하고 github를 두뇌에 연결하고 모든 저장소를 다운로드합니다.....아니요.

아니요, 특히 LinkedIn에는 사기꾼이 많습니다. 그중 일부는 이보다 훨씬 더 교묘할 것이므로 조심하세요.

위 내용은 개발자는 linkedIn 또는 The Legend of John (Jack) Hemm의 가짜 채용 담당자를 조심하세요.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!