隨著科技產業求職市場熱絡,LinkedIn也成為詐騙集團的新溫床,近期傳出多起針對高科技人才的精密詐騙案件,不法份子偽裝成海外公司的人力資源(HR)或獵頭,以「面試前測驗」或「協助評估產品 MVP(最小可行性產品)」為由,誘騙求職者下載含有惡意程式的GitHub專案。
該工程師在Threads上分享,自己未主動執行該專案程式,但仍在幾天後發現帳戶內60萬元遭轉走,他才發現,原來「只要用vscode(Visual Studio Code,微軟開發跨平台免費原始碼編輯器)開這個資料夾,電腦就開花了」。
根據受害工程師與社群回報指出,詐騙集團鎖定目標,通常是剛更新LinkedIn 狀態為「Open to work(尋找工作)」的用戶。
資安專家示警,詐騙集團技術已進化至不需使用者點擊連結或執行執行檔,手段已大幅進化,呼籲民眾要提高警覺。
鎖定求職若渴心態,假獵頭主動出擊
被盜領60萬的工程師,在Threads分享親身經歷,表示兩週前更新LinkedIn,馬上就很多人來敲,其中一個稍微談了一下工作內容跟薪資,想說還不錯就問要不要聊聊看。
「對方說公司產品目前已經有一個 MVP(類似產品原型,還不能發表的階段),叫我先看看有什麼想法。然後她就傳了一個公開的個 GitHub Repo,這個帳號底下只有這個專案,看起來有點詭異」。
工程師警覺有詐:直接跑下去電腦機密就全飛了
原PO下載了後稍微看了一下code覺得東西蠻多的。「一般來說我看到開源的專案會直接跑跑看實際上成品是什麼,但跟她的對話還有這個Repo,讓我有一種不對的感覺」。
「於是我用DeepWiki(用AI幫GitHub專案建Context 的對話工具)掃了這個專案,問有沒有什麼安全問題,DeepWiki 給了我幾個可疑的地方,但我看過都是假警報。但我不信邪又拿去給Gemini CLI掃,結果還真的掃出一個地方可以 Remote Execution (遠端遙控你的電腦做事)」。
原PO說,如果沒有突然警覺這個東西有問題,就直接跑下去,電腦上所有機密都飛了,損失可能上百萬。「接下來幾天又看到好幾個詐騙的帳號來敲,真的是超危險」。
未主動執行該專案程式,但帳戶內60萬遭轉走
雖然工程師具有資安警覺性,並未主動執行該專案程式,但仍在幾天後發現帳戶內的60 萬元遭到轉走。
該名工程師後來又發文說,這些 HR 都有幾個特點,像是他會一直引導你跟他 meeting,喜歡不正面回答問題,「他給的這個GitHub Repo乍看之下很正常,連續幾個月有兩個Contributor在輪流Commit東西,而且還真的有實作一個跟他描述相近的產品」。
「但仔細看他所有的Commit會發現,Contributor的commit 沒有簽名(高機率是偽造作者),然後有其中一個人的Commit message 跟實際內容都牛頭不對馬嘴,原來Remote Execution的Code就藏在其中一個很日常的Commit 裡面,發現時已經被偷了60萬」。
資安專家:來路不明技術測試邀請要保持高度懷疑
過去的資安觀念認為「不執行不明程式」即可保平安,但此觀念在面對新型態攻擊時已顯不足。根據案例指出,詐騙集團利用了開發工具的特性或漏洞。
資安專家示警,詐騙集團技術已進化至不需使用者點擊連結或執行執行檔,僅需觸發特定條件即可得逞,這對習慣下載開源代碼研究的工程師而言是極大的威脅。
本文經原發文工程師授權,不再授權媒體夥伴
