▲開發者揭「面試測驗」隱藏惡意程式 。(圖/取自免費圖庫Pexels)
記者吳立言/綜合報導
求職陷阱再升級!國外一名資深工程師 David Dodda 近日分享,自己在 LinkedIn 收到一家名為「Symfa」的區塊鏈公司邀請,對方自稱是公司區塊鏈長(Chief Blockchain Officer),語氣專業、履歷真實,還附上「技術測驗」要他在面試前完成。沒想到,這份看似再正常不過的作業,竟藏著惡意木馬,差點讓他整台電腦被駭。
Dodda 表示,該公司給的是一個 Bitbucket 程式庫,內容完整、文件乾淨,甚至有企業化的圖示與說明頁面,看起來相當可信。他因趕著準備面試,差點就直接執行程式,但臨時起疑,決定用 AI 助手「Cursor AI agent」掃描一下。
他輸入提示「在我執行這個應用程式前,能幫我看看是否有可疑程式碼,例如讀取不該讀的檔案或存取加密錢包嗎?」沒想到 AI 立刻回報異常,指出在 userController.js 檔案中藏有混淆程式碼,會連線到一個外部網址並執行遠端載入的內容。Dodda 解碼後發現,那其實是惡意木馬,一旦啟動,駭客就能讀取他的檔案、密碼,甚至竊取加密貨幣錢包。
更可怕的是,該惡意連結在 24 小時後自動失效、清除痕跡,幾乎不留任何證據,顯示整起攻擊背後的操作相當專業。Dodda 也坦言「這是我看過最像真的假面試,連 Calendly 排程、LinkedIn 公司頁面都做得一模一樣。」
這起事件在開發圈掀起熱議。許多工程師直呼「太真了」、「這比釣魚郵件還難防」。這類詐騙專門鎖定開發者,利用「技術測驗」名義讓對方執行陌生程式碼。若有人要求「先跑看看」或急著催交作業,應立即停手,先以 AI、病毒掃描或在隔離環境測試。
Dodda 也在文末呼籲「AI 救了我一命。下次有人傳測驗程式給你,別急著跑,花 30 秒掃描,可能救回你整個數位人生。」
