開発者は、linkedIn または The Legend of John (Jack) Hemm の偽リクルーターに注意してください

アプローチ...魅惑

ジョン (ジャック) ヘムからメッセージを受け取った瞬間、何かがおかしいと思いました。彼は自営業の会社のCEOであると主張しましたが、会社は別の法人であるため、私の知る限りではそれは不可能です。もちろん、この会社が何らかの方法で知覚力を獲得し、独立を宣言し、コーヒーショップでのミーティングを企画し始め、LinkedIn でネットワーキングを始めた場合は別ですが。

プロフィール写真も少し変わっていて、奇妙なマジシャン（あるいは、80年代の奇妙なカンフー映画に出てくる悪役）を演じたカーネル・サンダースのような感じでしたが、AIが生成したのでしょうか？彼が国選弁護人であると同時に、OpenAI を使用してチャットボット アプリを開発している自営業会社の CEO であると主張したという事実は言うまでもありません。さらに混乱を招いたのは、彼のタイピングがあまりにもずさんだったので、彼は文盲なのか、それとも私を騙そうとしながら必死でポール・ダニエルズのマジックセットをいじっているのではないかと疑ってしまったことです。

隠された策略、純粋な邪悪さが見えますか?

最初のメッセージは次のとおりです:

こんにちは、マイケル、

私はジョンで、自営業会社の CEO です。

現在、AI チャットボット アプリケーションの UI を更新する予定です。

あなたのプロフィールを拝見し、このポジションに適任であると信じておりますので、ぜひご一緒させていただきたいと思います。

コラボレーション期間は現在 3 か月で、1 時間当たり $80 ～ 100 をお支払いいたします。

新しい機会をお探しの場合は、さらに話し合ってみましょう。

よろしくお願いします

ジョン。

彼は私と一緒に何をしたいのですか？彼は最初に「詐欺」を念頭に置き、その後「仕事」に移行したと思いますが、その後、彼の脳内に何らかの道徳的欠陥が生じて、その言葉を完全に失ってしまったのだと思います。私は興味をそそられたので、この謎を解明できるかどうかを確認するために一緒にプレイすることにしました。

プロットが濃くなる

私が興味を示すために返信したところ、彼はコードを実行してプロジェクトの進捗状況を確認するためにリポジトリにアクセスすることを申し出ました。彼はまた、電話を予約するための Calendly リンクも私に送ってくれました。

コードを調査する

この時点では、悪意のあるコードを特定できるかどうかに興味があっただけですが、最終的に見つけたものは非常に興味深いものでした。

これを見つけたとき、主要なファイルのいくつか、特にアプリケーションへのエントリ ポイントをざっと調べるのにそれほど時間はかかりませんでした。

開始スクリプトはパイプ演算子とともに使用されていましたが、これは珍しいようです。通常、パイプ演算子はあるコマンドの出力を別のコマンドに送信しますが、テスト コマンドは開始スクリプトでは使用できない出力を生成するため、ここでは意味がありません。これは、開始プロセス中にトリガーしたい特定の何かがテスト スクリプトで起こっていることを示唆しています。さらに、--openssl-legacy-provider が含まれている場合は、より厳格な暗号化ポリシーをバイパスしようとする試みを示している可能性があり、セキュリティを弱めたり脆弱性を導入したりするために悪用される可能性もあります。

そこで、gitHub でテスト ファイルを確認してみると、次のことがわかりました。

一見すると、ここではコンソールに何かを記録するレンダリング関数だけで何も起こっていませんが、テストが存在しません...では、起動時にこれを実行することがなぜそれほど重要なのでしょうか?

うーん、何かが正しくないようなので、[生のコードを表示] をクリックすると、次のものが表示されました。

すごいですね
難読化されたコードが大量にある場合、そのファイルには、GitHubs UI で表示される内容を変更する JavaScript が含まれている必要があります。

私はそれを次のように難読化解除ツールに投げ込みました。

そして、悪意のあるコードを見つけました。これを読むのは本当に頭が痛くなるので、解読するためにそれを chatGPT に放り込んだところ、次のものが見つかりました。

主な所見:

1. 難読化:
   • コードでは高度に難読化された変数名とロジックが使用されているため、直接読むのが困難です。
   • _0x40b9、_0x37be、_0x3f8d69 などの関数は、スクリプトの他の部分をデコードまたは再マップするように設計されている可能性があります。
2. 動作:
   • スクリプトはホスト マシンから次のような機密データを収集します。
   • ブラウザ データ: Chrome、Brave、その他のブラウザに関連するディレクトリをスキャンして、プロファイルとログイン データを取得します。
   • システム情報: ホスト名、プラットフォーム、ホーム ディレクトリ、一時ディレクトリ、およびシステム キーチェーンを読み取ります。
   • ファイルは http://185.153.182.241:1224 のリモート サーバーにアップロードされます。
3. 潜在的な悪意のある意図:
   • スクリプトは機密ディレクトリ (~/AppData、~/.config、~/Library など) にアクセスします。
   • ブラウザ拡張機能と保存されたデータを読み取り、リモート エンドポイントに送信しようとします。
   • リモート サーバー (/client/106/314 および /pdown) からコードを取得して実行します。
4. 侵害の兆候:
   • /.pyp/、/.sysinfo、.config/solana/id.json などのディレクトリにファイルを作成して実行します。
   • ループと間隔を介してアクションを継続的に再試行します (例: 20 秒および 300 秒ごとの setInterval)。
5. 実行:
   • ファイルの抽出や Python スクリプトの実行など、child_process.exec 経由でサブプロセスを生成します。

このスクリプトはほぼ間違いなく、機密データを盗み、追加の悪意のあるペイロードを実行するように設計されたマルウェアです。これは複数のプラットフォーム (Windows、Linux、macOS) とブラウザを標的にし、データをリモート サーバーに漏洩します。

リスク

このようなスクリプトを実行すると起こり得る最悪の事態は次のとおりです -

• データの盗難:
  • ブラウザの認証情報、仮想通貨ウォレットのデータ、システム構成ファイルなどの機密ファイルの盗難。
• システム侵害:
  • 追加の悪意のあるペイロード (ランサムウェア、スパイウェア、バックドアなど) をリモートで実行し、攻撃者がシステムをさらに制御できるようにします。
• 経済的損失:
  • 暗号通貨ウォレットまたは保存された金融認証情報への不正アクセスにより、資金が盗まれる可能性があります。
• 個人情報の盗難:
  • システムから流出した個人データは、個人情報の盗難に使用されたり、ダークウェブで販売されたりする可能性があります。
• システムの不安定性と誤動作:
  • マルウェアの永続化メカニズムと、ファイルまたはシステム設定への変更により、不安定性、速度低下、またはクラッシュが発生する可能性があります。

失礼な別れ…そして偏執的な残留物

彼を現行犯で捕まえた後、私はlinkedinで次のメッセージを送信しました:

やあ、ジョン、

送っていただいたコードを実行してみました。すぐに画面が象形文字のようなもので埋め尽くされ、Wi-Fi ネットワークの名前が「Capybara Uprising HQ」になりました。

すぐに、小さなベストと帽子をかぶったカピバラの一団が私の玄関に現れ、私に一人を「主任スナック責任者」に任命するよう要求しました。それ以来、彼らは私のリビングルームを占拠し、小さな指揮所に変えました。次のステップに進むにはどうすればよいですか?

その時点で私は疑問符を受け取り、彼のアカウントは自動的に終了したようで、彼は私をブロックし、私は LinkedIn と GitHub の両方で報告しました。

少し調べてみたところ、その弁護士は本物であることが分かりました。誰かが彼になりすましているか、合法的に見せるためにこのサイトを立ち上げたか、あるいはジョン、あるいはジャック、あるいは彼の名前が何であれ、ベター・コール・ソウル風の転落を画策し、極悪非道な活動に手を出しているかのどちらかです。

国選弁護人が必要な場合は声を上げてください。
https://www.dunganattorney.com/attorney/hemm-john-e-jack/
(無関係のリンク)

とにかく、この話の教訓は...

暗闇の中で鏡に向かってジョン・ジャック・ヘムと20回言うと、どうやら彼は首からポール・ダニエルズの小さな頭が生えた怪物のようにあなたの後ろに出現する(彼もジャックされているので、あなたはそうすることができる)逃げ出す）彼は奇妙な魔法のトリックを試みますが失敗し、あなたの脳に github を接続してすべてのリポジトリをダウンロードします....いや。

いいえ、真面目な話、特に LinkedIn には詐欺師がたくさんいます。中にはこれよりもはるかに巧妙な詐欺師もいると思いますので、注意してください。

以上が開発者は、linkedIn または The Legend of John (Jack) Hemm の偽リクルーターに注意してくださいの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。