Pembangun berhati-hati terhadap perekrut palsu di linkedIn atau The Legend of John (Jack) Hemm

Pendekatan...enchanté

Setelah saya menerima mesej daripada John (Jack) Hemm, saya tahu ada sesuatu yang tidak betul. Dia mendakwa sebagai CEO sebuah syarikat yang bekerja sendiri, yang setahu saya, adalah mustahil kerana sebuah syarikat adalah entiti undang-undang yang berasingan. Melainkan, sudah tentu, syarikat ini entah bagaimana mendapat keyakinan, mengisytiharkan kemerdekaan, mula menganjurkan mesyuarat kedai kopi dan mula menjalin rangkaian di LinkedIn.

Gambar profil juga kelihatan agak terkeluar, seperti Kolonel Sanders sebagai ahli silap mata yang pelik (atau mungkin lelaki jahat dalam filem kung fu 80-an yang pelik) tetapi dijana AI? apatah lagi fakta bahawa dia mendakwa sebagai pembela awam manakala pada masa yang sama Ketua Pegawai Eksekutif syarikat yang bekerja sendiri membangunkan aplikasi chatbot menggunakan OpenAI. Untuk menambah kekeliruan, penaipannya sangat ceroboh sehingga membuatkan saya tertanya-tanya sama ada dia buta huruf atau mungkin bermain-main dengan set sihir Paul Daniels secara panik semasa cuba menipu saya.

Bolehkah anda melihat rupa tipu daya yang tersembunyi, kelicikan murni?

Ini mesej pertama:

Hai Michael,

Saya John dan CEO sebuah syarikat Bekerja Sendiri.

Pada masa ini, kami akan mengemas kini UI aplikasi AI chatbot kami.

Saya ingin bersama anda kerana saya telah menyemak profil anda dan percaya bahawa anda sesuai untuk jawatan ini.

Tempoh kerjasama pada masa ini adalah 3 bulan dan kami sanggup membayar $80~100 sejam.

Jika anda sedang mencari peluang baru, mari berbincang lebih lanjut.

Salam,

John.

Apa yang dia mahu lakukan dengan saya? Saya rasa dia bermula dengan "penipuan" dalam fikiran, kemudian beralih kepada "kerja", tetapi kemudian beberapa gangguan moral dalam otaknya menyebabkan dia kehilangan perkataan sepenuhnya. Saya tertarik, jadi saya memutuskan untuk bermain bersama-sama hanya untuk melihat sama ada saya boleh menguraikan misteri ini.

Plot menebal

Saya membalas untuk menyatakan minat saya, dan dia menawarkan saya akses kepada repositori mereka untuk menjalankan kod dan menyemak kemajuan projek. Dia juga menghantar saya pautan Calendly untuk menempah panggilan.

Menyiasat kod

Pada ketika ini saya hanya berminat untuk melihat sama ada saya dapat mengenal pasti kod hasad itu dan perkara yang akhirnya saya temui agak menarik.

Saya tidak mengambil masa yang lama untuk menyemak beberapa fail utama dan, khususnya, titik masuk ke aplikasi apabila saya menemui ini:

Skrip permulaan telah digunakan dengan pengendali paip, yang nampaknya luar biasa. Operator paip biasanya mengarahkan output satu perintah kepada yang lain, tetapi ini tidak masuk akal di sini, kerana arahan ujian menjana output yang tidak boleh digunakan oleh skrip permulaan. Ini menunjukkan bahawa sesuatu yang khusus sedang berlaku dalam skrip ujian yang ingin mereka cetuskan semasa proses permulaan. Selain itu, kemasukan --openssl-legacy-provider boleh menunjukkan percubaan untuk memintas dasar kriptografi yang lebih ketat, yang mungkin juga dieksploitasi untuk melemahkan keselamatan atau memperkenalkan kelemahan.

Jadi di gitHub saya melihat fail ujian dan melihat ini:

Pada pandangan pertama tiada apa-apa yang berlaku di sini hanya fungsi pemaparan yang mencatatkan sesuatu ke konsol, tetapi ketiadaan ujian...jadi mengapa sangat penting untuk menjalankan ini pada permulaan?

hmmm nampaknya ada sesuatu yang tidak betul jadi saya mengklik pada lihat kod mentah dan kemudian saya melihat ini:

loooooooooooooooool
Bingo sekumpulan kod yang dikaburkan, fail mesti mengandungi beberapa javaScript yang mengubah suai perkara yang anda lihat apabila melihatnya dalam UI GitHubs.

Saya melemparkannya ke dalam Deobfuscator seperti:

Dan kemudian saya melihat kod berniat jahat, yang sangat menyakitkan untuk dibaca, jadi saya hanya memasukkannya ke dalam chatGPT untuk menguraikan dan inilah yang ditemui:

Pemerhatian Utama:

1. Kekeliruan:
   • Kod ini menggunakan nama pembolehubah dan logik yang sangat dikelirukan, menjadikannya sukar untuk dibaca secara langsung.
   • Fungsi seperti _0x40b9, _0x37be dan _0x3f8d69 berkemungkinan direka untuk menyahkod atau memetakan semula bahagian lain skrip.
2. Tingkah Laku:
   • Skrip mengumpul data sensitif daripada mesin hos, seperti:
   • Data penyemak imbas: Ia mengimbas direktori yang berkaitan dengan Chrome, Brave dan penyemak imbas lain untuk profil dan data log masuk.
   • Maklumat sistem: Membaca nama hos, platform, direktori rumah, direktori sementara dan rantai kunci sistem.
   • Fail dimuat naik ke pelayan jauh di http://185.153.182.241:1224.
3. Berpotensi Niat Hasad:
   • Skrip mengakses direktori sensitif (~/AppData, ~/.config, ~/Library, dll.).
   • Percubaan untuk membaca dan menghantar sambungan penyemak imbas dan data yang disimpan ke titik akhir jauh.
   • Mengambil dan melaksanakan kod daripada pelayan jauh (/client/106/314 dan /pdown).
4. Petunjuk Kompromi:
   • Mencipta dan melaksanakan fail dalam direktori seperti /.pyp/, /.sysinfo dan .config/solana/id.json.
   • Mencuba semula tindakan secara berterusan melalui gelung dan selang (cth., setInterval setiap 20 saat dan 300 saat).
5. Pelaksanaan:
   • Melahirkan subproses melalui child_process.exec, seperti mengekstrak fail atau melaksanakan skrip Python.

Skrip ini hampir pasti perisian hasad direka untuk mencuri data sensitif dan melaksanakan muatan berniat jahat tambahan. Ia menyasarkan berbilang platform (Windows, Linux dan macOS) dan penyemak imbas, mengeluarkan data ke pelayan jauh.

Risiko

Inilah perkara terburuk yang boleh berlaku jika anda menjalankan skrip seperti ini -

• Kecurian Data:
  • Kecurian fail sensitif seperti bukti kelayakan penyemak imbas, data dompet mata wang kripto dan fail konfigurasi sistem.
• Kompromi Sistem:
  • Pelaksanaan jauh muatan berniat jahat tambahan (cth., perisian tebusan, perisian pengintip atau pintu belakang), memberikan penyerang kawalan selanjutnya ke atas sistem anda.
• Kerugian Kewangan:
  • Akses tanpa kebenaran kepada dompet mata wang kripto atau bukti kelayakan kewangan yang disimpan boleh mengakibatkan dana dicuri.
• Kecurian Identiti:
  • Data peribadi yang dikeluarkan daripada sistem anda boleh digunakan untuk kecurian identiti atau dijual di web gelap.
• Ketidakstabilan dan Kepincangan Sistem:
  • Mekanisme kegigihan perisian hasad dan pengubahsuaian pada fail atau tetapan sistem boleh menyebabkan ketidakstabilan, kelembapan atau ranap sistem.

Selamat tinggal yang kurang ajar...dan sisa paranoid

Selepas menangkapnya, saya menghantar mesej berikut di linkedin:

Hai John,

Saya telah menjalankan kod yang anda hantar kepada saya. Serta-merta, skrin saya dipenuhi dengan apa yang kelihatan seperti hieroglif, dan kini rangkaian Wi-Fi saya dinamakan 'Capybara Uprising HQ.'

Seketika kemudian, sekumpulan capybara muncul di depan pintu saya dengan memakai jaket dan topi kecil, menuntut saya melantik seorang sebagai 'Ketua Pegawai Makanan Ringan' saya. Mereka telah mengambil alih ruang tamu saya dan mengubahnya menjadi stesen arahan yang kecil. Bagaimanakah cara saya meneruskan langkah seterusnya?

Pada ketika itu saya menerima tanda soal dan akaunnya seolah-olah ditamatkan sendiri, dia menyekat saya dan saya melaporkannya di LinkedIn dan GitHub.

Saya melakukan beberapa penggalian, dan ternyata peguam itu benar. Sama ada seseorang menyamar sebagai dia, mereka telah menyediakan tapak ini untuk kelihatan sah, atau John—atau Jack, atau apa sahaja namanya—menyalurkan beberapa kejatuhan gaya Better Call Sauldan terlibat dalam aktiviti jahat.

Berteriak jika anda memerlukan pembela awam.
https://www.dunganattorney.com/attorney/hemm-john-e-jack/
(pautan tidak berkaitan)

Apa pun moral ceritanya ialah...

Jika anda menyebut John Jack Hemm 20 kali dalam cermin dalam gelap, nampaknya dia muncul di belakang anda dengan kepala Paul Daniels kecil yang tumbuh dari lehernya seperti raksasa dari benda itu (dia juga tersentak, jadi anda boleh' t melarikan diri) dia cuba melakukan helah silap mata pelik yang gagal dan kemudian memasukkan github ke dalam otak anda dan memuat turun setiap satu repositori.....Nah.

Tidak, serius, terdapat banyak penipu di luar sana, terutamanya di LinkedIn, dan saya rasa sesetengah daripada mereka akan jauh lebih canggih daripada yang ini, jadi berhati-hatilah.

Atas ialah kandungan terperinci Pembangun berhati-hati terhadap perekrut palsu di linkedIn atau The Legend of John (Jack) Hemm. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!