安全研究员 reymom.xyz 的最新技术分析显示,一种针对开发者的复杂供应链攻击手段正浮出水面,其手段竟是利用虚假的 Web3 求职面试进行渗透。
该攻击始于社会工程学手段。攻击者会化身 LinkedIn 或 Telegram 等平台上的招聘人员,向开发者发送看似合理的入职邀请。在初步面试后,应聘者会被要求克隆并运行一个“家庭作业”代码仓库,且这一过程往往发生在实时屏幕共享面试中。
报告指出,该恶意仓库伪装成名为“MGVerse”的项目,冒充合法的 0G Labs 项目,并利用 npm 的 “prepare” 钩子来执行隐藏的有效载荷。当开发者运行 `npm install` 时,该过程会在后台静默启动一个 Node 进程,专门用于窃取敏感数据。
“实时面试带来的社交压力是该攻击的关键切入点。在屏幕共享时,你根本没有时间去审计代码仓库。为了给面试官留下好印象,你会直接运行 npm install,”相关消息人士表示。
技术执行与数据窃取过程
整个攻击链分为三个阶段。第一阶段通过托管在 Vercel 上的加载器(ipcheck-six.vercel.app)启动流程;第二阶段会在 1224 端口建立一个自定义 TCP 信标(beacon),并连接到位于德克萨斯州的一个受攻击者控制的服务器。
连接建立后,恶意软件会利用 `new Function` 命令实现远程代码执行(RCE)原语,从而运行任意代码。其核心窃取目标是受害者的 `process.env` 数据,其中可能包含 API 密钥、SSH 密钥、浏览器 Cookie 以及加密货币钱包的助记词。
该研究员本人也遭到了此次攻击的针对。他在运行恶意命令约 44 分钟后,检测到了该后台进程。分析证实,该攻击旨在伪装成软件安装生命周期的标准组成部分,从而绕过传统的安全检测机制。
研究人员已将该攻击活动标记为 “tid=Y3Jhc2ggdGhlIGJhZCBndXlz”,并指出相关基础设施目前仍处于活跃状态。用于此次攻击的代码仓库已被存档,以供进一步的取证调查。
