开发人员谨防 linkedIn 或 The Legend of John (Jack) Hemm 上的虚假招聘人员

方法...迷人

当我收到约翰（杰克）赫姆发来的消息时，我就知道有些事情不太对劲。他自称是一家个体经营公司的首席执行官，据我所知，这是不可能的，因为公司是一个独立的法人实体。当然，除非这家公司以某种方式获得了知觉，宣布独立，开始组织咖啡店会议，并开始在 LinkedIn 上建立联系。

个人资料图片看起来也有点不对劲，有点像桑德斯上校作为一个奇怪的魔术师（或者可能是一些奇怪的 80 年代功夫电影中的坏人），但人工智能生成的？更不用说他自称是一名公设辩护人，同时又是一家使用 OpenAI 开发聊天机器人应用程序的个体经营公司的首席执行官。更让人困惑的是，他的打字太草率了，让我怀疑他是否是文盲，或者可能在试图欺骗我的同时疯狂摆弄保罗·丹尼尔斯的魔法装置。

你能看到那种隐蔽的诡计、纯粹的狡诈吗？

这是第一条消息：

嗨迈克尔，

我是约翰，一家个体经营公司的首席执行官。

目前，我们将更新我们的 AI 聊天机器人应用程序 UI。

我愿意与您合作，因为我查看了您的个人资料并相信您非常适合这个职位。

目前合作期为3个月，我们愿意支付每小时80~100美元。

如果您正在寻找新的机会，让我们进一步讨论。

最诚挚的问候，

约翰。

他想对我做什么？我认为他一开始脑子里想到的是“骗局”，然后转向“工作”，但后来他大脑中的一些道德故障导致他完全忘记了这个词。我很好奇，所以我决定一起玩，看看能否解开这个谜团。

剧情变厚了

我回复表达了我的兴趣，他向我提供了访问他们的存储库的权限来运行代码并检查项目的进度。他还给我发了一个 Calendly 链接来预约电话。

研究代码

此时我只是想看看是否可以识别恶意代码，而我最终发现的结果非常有趣。

当我发现这个时，我很快就快速浏览了一些主要文件，特别是应用程序的入口点：

启动脚本与管道运算符一起使用，这看起来很不寻常。管道运算符通常将一个命令的输出定向到另一个命令，但这在这里没有意义，因为测试命令生成启动脚本无法使用的输出。这表明测试脚本中正在发生一些特定的事情，他们希望在启动过程中触发这些事情。此外，包含 --openssl-legacy-provider 可能表明试图绕过更严格的加密策略，这也可能被利用来削弱安全性或引入漏洞。

所以在 gitHub 上我查看了测试文件并看到了这个：

乍一看，这里没有发生任何事情，只是一个将某些内容记录到控制台的渲染函数，但缺乏测试......那么为什么在启动时运行它如此重要？

嗯，有些东西似乎不太对劲，所以我点击了查看原始代码，然后我看到了这个：

呜呜呜呜呜呜
宾果一堆混淆的代码，该文件必须包含一些 javaScript，它会修改您在 GitHub UI 中查看时看到的内容。

我把它扔进反混淆器中，如下所示：

然后我看到了恶意代码，读起来绝对令人头疼，所以我只是将其放入 chatGPT 中进行破译，这就是它发现的内容：

主要观察结果：

1. 混淆：
   • 代码使用了严重混淆的变量名称和逻辑，很难直接阅读。
   • 诸如 _0x40b9、_0x37be 和 _0x3f8d69 之类的函数可能旨在解码或重新映射脚本的其他部分。
2. 行为：
   • 该脚本从主机收集敏感数据，例如：
   • 浏览器数据：它扫描与 Chrome、Brave 和其他浏览器相关的目录以获取配置文件和登录数据。
   • 系统信息：读取主机名、平台、主目录、临时目录和系统钥匙串。
   • 文件上传到远程服务器http://185.153.182.241:1224。
3. 潜在的恶意意图：
   • 该脚本访问敏感目录（~/AppData、~/.config、~/Library 等）。
   • 尝试读取浏览器扩展和存储的数据并将其发送到远程端点。
   • 从远程服务器获取并执行代码（/client/106/314 和 /pdown）。
4. 妥协指标：
   • 在 /.pyp/、/.sysinfo 和 .config/solana/id.json 等目录中创建并执行文件。
   • 通过循环和间隔不断重试操作（例如，每 20 秒和 300 秒 setInterval）。
5. 执行：
   • 通过child_process.exec生成子进程，例如提取文件或执行Python脚本。

该脚本几乎可以肯定是恶意软件，旨在窃取敏感数据并执行其他恶意负载。它针对多个平台（Windows、Linux 和 macOS）和浏览器，将数据泄露到远程服务器。

风险

如果运行这样的脚本，可能会发生最糟糕的情况 -

• 数据盗窃：
  • 窃取浏览器凭据、加密货币钱包数据和系统配置文件等敏感文件。
• 系统妥协：
  • 远程执行其他恶意负载（例如勒索软件、间谍软件或后门），让攻击者进一步控制您的系统。
• 经济损失：
  • 未经授权访问加密货币钱包或存储的财务凭证可能会导致资金被盗。
• 身份盗窃：
  • 从您的系统中窃取的个人数据可能会被用于身份盗窃或在暗网上出售。
• 系统不稳定和故障：
  • 恶意软件的持久性机制以及对文件或系统设置的修改可能会导致不稳定、速度减慢或崩溃。

粗鲁的告别......和偏执的残留物

当场抓住他后，我在 linkedin 上发送了以下消息：

嘿约翰，

我运行了你发给我的代码。我的屏幕立刻充满了象形文字，现在我的 Wi-Fi 网络被命名为“Capybara Uprising HQ”。

过了一会儿，一群穿着小背心、戴着帽子的水豚出现在我家门口，要求我任命一个为我的“首席零食官”。从那以后，他们占领了我的客厅，把它变成了一个小小的指挥站。我该如何进行后续步骤？

此时我收到了一个问号，他的帐户似乎自行终止了，他屏蔽了我，我在 LinkedIn 和 GitHub 上报告了这些情况。

我做了一些挖掘，结果证明这位律师是真实的。要么有人冒充他，他们建立了这个网站以显得合法，要么约翰——或者杰克，或者不管他的名字是什么——正在引导一些更好的呼叫扫罗式的失败并涉足邪恶活动。

如果您需要公设辩护人，请大声喊出来。
https://www.dunganattorney.com/attorney/hemm-john-e-jack/
（非附属链接）

无论如何，这个故事的寓意是......

如果你在黑暗中对着镜子说约翰·杰克·赫姆 20 次，显然他会在你身后重生，脖子上长出一个保罗·丹尼尔斯的小脑袋，就像这东西里的怪物一样（他也被杰克了，所以你可以' t 逃脱）他尝试做一些奇怪的魔术，但失败了，然后将 github 插入你的大脑并下载每个存储库......不。

不，说真的，外面有很多骗子，尤其是在 LinkedIn 上，我猜其中一些骗子会比这个骗子复杂得多，所以要小心。

以上是开发人员谨防 linkedIn 或 The Legend of John (Jack) Hemm 上的虚假招聘人员的详细内容。更多信息请关注PHP中文网其他相关文章！