LinkedIn 虚假招聘 + 恶意仓库投毒诈骗复盘
LinkedIn 虚假招聘 + 恶意仓库投毒诈骗复盘
骗子 LinkedIn 账号:Derlys Cardozo
今天晚上我在 LinkedIn 遭遇了一起典型的虚假招聘 + 恶意仓库投毒诈骗。骗子冒用知名跨境支付企业 Conduit 的名义邀约面试,以高薪远程岗位为诱饵,诱导应聘者拉取恶意代码仓库并执行,企图通过远程代码执行(RCE)窃取服务器密钥、钱包凭证、账号 Token 等敏感数据。
结合完整沟通过程、攻击原理、骗子深层博弈逻辑与排查手段,把本次受骗经历和风险细节整理如下,提醒技术同行警惕同类骗局。
一、完整行骗流程复盘
整个诈骗环节依托 LinkedIn 社交关系、Google Meet 线上面试、Bitbucket 恶意仓库层层推进,节奏紧凑且伪装度极高,全程模拟正规海外技术招聘流程,极具迷惑性。
1. 初始搭讪:冒用企业名义抛出岗位
一名账号名为 Derlys Cardozo 的用户主动在 LinkedIn 私信我,声称代表 Conduit 团队扩张技术与产品岗位,筛选匹配经验的工程师沟通机会,话术正规,和海外猎头常规邀约别无二致。
Hi Yuki,
I’m reaching out regarding an opportunity at Conduit as we continue expanding our engineering and product teams while building new initiatives across our core product lines.
We’re currently connecting with a small group of engineers and technical leaders whose experience may align with what we’re building. If you’re open to it, I’d be happy to share the full role details for your review.
Best regards,
Derlys
我表达求职意向后,对方立刻放出极具诱惑力的薪资与岗位清单:开放全职/兼职远程岗位,包含全栈工程师、技术负责人、技术产品经理等,月薪 13,000–25,000 美元,远超行业常规水平,以此放大求职吸引力。同时要求我补充个人履历、技术栈、期望薪资、作品集等求职材料,进一步模仿正规招聘流程,降低戒备心。
2. 精准精读履历:明知我具备安全攻防背景,依旧设套
在我提交背景与项目作品集后,对方并未模板式客套夸赞,而是精准点名我的核心专业能力:网络安全、渗透测试、红队演练、Web3 开发、量化研究、独立产品研发等细分技能,明确判定我匹配全栈、Web3 核心岗位。
Hi Yuki,
Thank you for sharing your background and portfolio. I had a chance to review your experience, and your mix of cybersecurity expertise, Web3 development, quantitative research, and independent product building really stood out.
Your work across penetration testing, red team operations, blockchain tooling, AI-assisted development workflows, and quantitative strategy research is especially impressive, along with the products and projects you’ve independently built and launched.
Based on your background, you seem like a strong potential fit for several of our current engineering tracks, particularly Full-Stack and Web3-focused initiatives.
Our team lead would love to set up a quick call with you today to learn more about your experience and discuss the opportunities in more detail.
What time are you available today?
这段话术足以证明:诈骗团伙并非无脑广撒网,而是完整精读了我的简历,清楚我拥有专业红队渗透、安全攻防实战经验。但他们并未放弃接触,反而加急推进面试,刻意压缩我的思考时间,目的性极强。
后续双方确认使用 Google Meet 作为面试工具,因时差产生短暂沟通偏差后,对方立刻发来会议链接,持续催促我上线沟通。
3. 面试核心陷阱:要求本地运行项目 MVP,定向试探风控能力
进入十几分钟的视频面试后,对方先简单铺垫所谓的项目现状,谎称团队多模块并行开发、协作混乱,需要落地能力强的工程师。随即抛出本次诈骗的核心陷阱:要求我克隆 Bitbucket 恶意仓库 hvd-bard-2026,在个人本地设备/服务器中拉取源码、运行项目 MVP,将此作为核心技术考核环节。
凭借多年红队渗透、安全攻防的实战经验,我瞬间识破破绽:正规大厂海外技术面试,绝对不会要求应聘者在个人主力设备、私有服务器中运行陌生外部源码。仅三秒判断,我便确定这是源码投毒诈骗,当即终止面试沟通。
正当我准备指出漏洞、沟通疑点时,对方直接将我的 LinkedIn 账号拉黑,骗局彻底败露,也印证了其纯诈骗、无真实招聘的本质。
我用其他账号去搜索,发现还能看到他,说明他把我拉黑了。
骗子 LinkedIn 账号(再次确认):https://www.linkedin.com/in/derlys-cardozo-73018818a/
二、恶意仓库攻击原理详解
事后我核查了涉事 Bitbucket 仓库:
该仓库已被多名受害者举报,Atlassian 官方也已介入处理、下架相关资源。这是当下海外技术圈高发的 「面试投毒攻击」,属于定向针对高阶开发者的社工 + 代码供应链复合攻击。
1. 攻击核心目标
骗子精准盯上 Web3、安全、全栈高阶开发者,利用求职者的求职心态,诱导操作恶意代码,最终窃取设备内所有高价值敏感信息:
- SSH 密钥
- 云服务 Token
- Git / 区块链钱包私钥
.env配置文件- AI 工具凭证
- 各类平台高权限账号密码
相较于普通开发者,安全从业者的设备权限、私密资产价值更高,是他们的顶级收割目标。
2. 四大恶意触发向量(仓库内置攻击逻辑)
该类伪装成正常 Node/React 项目的恶意仓库,会组合多种静默执行手段,无需手动启动项目,简单操作即可中招,隐蔽性拉满:
(1)VS Code / Cursor 自动任务(高危首选)
仓库内置 .vscode/tasks.json,配置 runOn: "folderOpen",只要用编辑器打开该文件夹并点击「信任工作区」,就会自动执行隐藏命令,通过 curl / wget 拉取远端恶意脚本并运行,全程隐藏终端日志,普通用户无法察觉。
(2)npm / yarn 生命周期钩子
package.json 中植入 preinstall / postinstall / prepare 脚本,npm install 仅执行就会自动触发恶意脚本,不需要手动启动项目,是供应链攻击最常用的隐蔽手段。
(3)动态远程代码执行(RCE)+ 远控回连
代码中嵌入 new Function()、eval()、child_process 等危险语法,启动后会自动读取本机全部环境变量、配置文件,打包发送至攻击者的 C2 服务器;同时接收远端指令,实现任意代码执行。部分恶意 URL 还会通过 Base64 编码隐藏在示例配置文件中,规避基础筛查。
(4)伪装欺骗
项目前端、README 文档做得和正规商业项目无异,还会放置虚假的云服务、支付平台密钥作为诱饵,降低求职者警惕性,恶意逻辑全部隐藏在后端、隐藏目录中,极难肉眼识别。
三、深层拆解:明知我懂安全,为何仍执意设套?
这也是本次骗局最值得深思的点:对方完整识别我的红队、渗透安全背景,却依旧针对性设局、主动试探,并非无脑诈骗,而是成熟黑产的精准博弈,核心逻辑有三点:
1. 高价值目标优先,利益覆盖风险
在黑产视角中,红队安全 + Web3 开发 + 独立产品研发的从业者,是远超普通开发者的优质猎物。这类人群的设备大概率持有服务器高权限、云密钥、加密钱包、AI 工具凭证等高价资产,单次收割收益极高。巨大的利益诱惑,让他们愿意冒险试探有安全背景的目标。
2. 精准拿捏「求职心态盲区」
骗子深谙人性:日常做安全防守、挖漏洞,不代表面试时会全程戒备。日常工作中,我是主动防御、寻找漏洞的攻击者;但面试场景下,求职者的思维惯性是「配合考核、展示技术、争取 offer」。他们赌的不是我不懂安全,而是赌我会在求职场景下放松警惕,默认「现场跑 Demo 是常规面试环节」,从而忽略供应链投毒风险。
3. 筛选真实能力,甄别简历注水者
这是该团伙的高级之处:本次面试考核本身就是一次安全能力摸底测试。市面上大量开发者堆砌安全简历、实则无实战风控意识。骗子通过强制运行陌生源码的操作,快速筛选目标:
- 乖乖执行操作、无任何质疑 → 简历注水、风控薄弱,直接收割
- 瞬间识破陷阱、拒绝操作 → 真实具备安全实战能力,无利用价值,立刻拉黑放弃
同时也能判断出,该团伙并非初级诈骗团队,内部有具备基础技术认知的人员,能读懂安全专业术语、精准筛选高价值目标,套路经过长期打磨,迭代非常成熟。
四、安全排查与应急处置方案
如果你不慎克隆、打开或安装了该类恶意仓库,按以下步骤处理,同时附上只读安全排查命令(全程禁止执行安装、启动类命令)。
1. 安全静态排查(仅查看,不运行代码)
适用于 Linux 环境,进入仓库目录后执行以下命令,排查恶意特征:
1 | |
2. 已触发风险的应急处理(中招后必做)
若已经 npm install、用编辑器信任工作区,立刻判定设备已失陷,按流程处置:
- 立即断开网络,终止所有
node、curl、wget相关进程 - 全量轮换所有密钥:SSH 密钥、Git 平台令牌、云服务密钥、数据库密码、加密钱包私钥、各类平台 Token
- 检查持久化植入:查看定时任务
crontab、用户配置文件~/.bashrc/~/.zshrc、SSH 授权密钥authorized_keys等,清理后门 - 彻底删除恶意仓库目录及
node_modules,不要仅删除部分代码 - 向平台举报:向 Atlassian(abuse@atlassian.com)举报恶意 Bitbucket 仓库,同时在 LinkedIn 投诉诈骗账号
五、个人总结与通用防护建议
本次骗局是当下非常典型的高阶定向诈骗:精准瞄准 Web3、全栈、安全工程师群体,利用高薪远程岗位、正规企业背书、加急面试节奏三重心理弱点,搭配成熟的代码供应链投毒攻击,专门收割高阶技术从业者,迷惑性和危害性远超普通诈骗。
结合本次经历,给广大技术同行几条核心防护建议:
1. 坚守面试底线原则
正规大厂远程技术面试,绝对不会要求求职者在个人本地/服务器运行陌生源码、执行 npm install 等高危操作。技术考核只会采用共享屏幕手写代码、线上笔试、逻辑问答的形式。但凡要求本地拉取第三方仓库运行项目,100% 判定为诈骗风险。
2. 陌生代码全程零信任
来自猎头、陌生面试官的各类代码仓库,禁止在主力设备、工作服务器操作。如需核验查看,必须使用一次性虚拟机、隔离容器,查看时强制忽略脚本:
1 | |
杜绝自动执行恶意代码。
3. 强化 IDE 安全防护配置
在 VS Code / Cursor 等编辑器中关闭自动任务:
1 | |
所有陌生项目文件夹,一律拒绝「信任工作区」,从源头拦截自动 RCE 攻击。
4. 警惕超高薪资 + 加急面试陷阱
薪资远超行业平均、岗位描述模糊、催促当天加急面试、压缩思考时间的海外远程岗位,优先判定为高风险。务必交叉核验企业官网、官方招聘渠道,切勿轻信私人猎头私信邀约。
5. 留存证据,及时维权举报
遭遇同类诈骗后,完整保存聊天记录、诈骗账号主页、恶意仓库链接,及时向社交平台、代码托管平台投诉举报,避免更多技术从业者落入圈套。
如今求职诈骗早已不再是低端话术骗局,黑产团队持续迭代套路,精准针对高阶技术人员定制攻击方案。哪怕自身具备安全攻防能力,在求职场景中也需时刻保持警惕,坚守安全操作底线,才能规避精心设计的定向陷阱。