文章揭露了一起通过LinkedIn招聘信息植入后门的攻击事件。作者收到加密货币初创公司招聘信息后，被要求审查GitHub代码库，发现其中伪装成测试套件的恶意代码会拼接URL并执行远程命令。作者通过隔离环境分析避免了潜在风险，提醒开发者警惕此类社交工程攻击。

标题：LinkedIn招聘信息中暗藏的后门陷阱

事件经过： 一位加密货币初创公司招聘人员通过LinkedIn联系作者，要求其审查一个GitHub代码库中的"废弃Node模块问题"。作者察觉异常后，采取了以下防范措施： 1. 使用Hetzner临时VPS环境克隆仓库 2. 通过Pi工具以只读模式扫描代码（仅启用read/grep/find/ls功能）

技术分析： • 恶意代码隐藏在app/test/index.js文件中，伪装成测试套件（约250行） • 通过字符串拼接构造恶意URL：https://rest-icon-handler.store/icons/77 • 利用npm的prepare脚本机制（安装依赖时自动执行），在npm install时触发后门 • 攻击者精心设计话术，以"检查废弃模块"为诱饵诱导执行安装命令

身份盗用细节： 1. 代码提交历史盗用真实开发者身份： - 39次提交记录均归属某全栈工程师 - 经核实该工程师从未参与该项目 2. 招聘人员资料盗用艺术记者身份： - 非技术背景却突然精通Node版本讨论 - 持续施压要求执行npm install

安全启示： 1. 代码审查应采用只读工具先行扫描 2. 保持必要的安全警惕性（作者坦言在疲惫时也可能中招） 3. 陌生代码库务必在隔离环境操作

后续情况： 作者已向GitHub和LinkedIn举报，但截至发稿恶意代码仍未被下架。

（注：原文中的5张配图说明已精简保留关键信息，技术细节保持完整，删减了部分对话细节和个人感想内容）

以下是评论内容的总结：

1. 对LinkedIn招聘诈骗的批评

   • 多位用户指出LinkedIn上出现针对开发者的钓鱼诈骗，通过要求运行恶意代码实施攻击
   • 关键引用：
     • "Great catch. I've not been phished on LinkedIn before. Surprised it's getting this bad." (wxw)
     • "I’ve seen a few of these – malicious repos to clone, fake call links that prompt for 'driver' downloads..." (mattcasmith)

2. 对平台监管不力的不满

   • 用户批评微软(GitHub/LinkedIn所属公司)对举报的恶意内容处理不及时
   • 关键引用：
     • "I reported the repo to GitHub and the recruiter to LinkedIn. So far nothing has changed..." (BobAliceInATree)
     • "More reasons for me to dislike linked-in. I have an account. I hate it." (avgDev)

3. 对攻击手法的分析

   • 攻击者利用npm自动执行特性("prepare"脚本)植入后门
   • 攻击者具备全栈开发知识，可能是专业黑客组织
   • 关键引用：
     • "npm runs prepare automatically after npm install, so just installing dependencies executes the backdoor." (wxw)
     • "This is very likely Lazarus Group - specifically Famous Chollima aka the DPRK" (clemailacct1)

4. 对受害者处境的同情

   • 认为当前就业市场环境使开发者更容易成为目标
   • 关键引用：
     • "With how many desperate software engineers there are...scumbags out there trying to take advantage" (robotnikman)
     • "This has nearly gotten me before, and I got lucky." (Yhippa)

5. 对防范措施的建议

   • 强调需要保持高度警惕，不运行不可信代码
   • 呼吁建立更好的网络安全报警机制
   • 关键引用：
     • "The only way around it is to be hyper-vigilant..." (mattcasmith)
     • "Why isn't there a well known '911' for cybercrime..." (jmward01)

6. 对攻击目的的推测

   • 可能是为了获取开发者凭证或实施供应链攻击
   • 关键引用：
     • "they may be targeting software developers on the assumption they may have legit credentials..." (contingencies)
     • "I guess something boring like crypto mining or identity theft?" (rektomatic)