重要警报：DEVS：技术测试中的欺诈正在增长 - 保持警惕

Source: Dev.to

如何运作（始终相同的模式）

• 一个“招聘者”（有时冒充区块链公司的 CEO 或 HR）主动联系。
• 招聘信息看起来很诱人——薪资高于平均水平，100 % 远程，美元支付等。
• 他要求你的简历和 GitHub。
• 在你还没正式交谈前，就说你已经“进入下一轮”。
• 面试前，他会发送一个 codebase 让你学习或修改。

然后 攻击发生：当你运行项目时，依赖中的恶意脚本会执行远程 payload——导致入侵、数据窃取，尤其是获取浏览器中已安装的加密货币钱包。

实际案例分析（引用的文章）

Allan Lancioni

他对收到的攻击进行了完整的逆向工程。代码库中隐藏了可以注入代码并窃取加密钱包的脚本。

必读文章：
Como identifiquei um golpe em teste técnico – análise real

João Pessoa

他收到一个可疑的仓库作为“技术测试”。检查 package.json 时发现了恶意包：

{
  "dependencies": {
    "fs": "0.0.1-security",          // 包被恶意删除
    "execp": "0.0.1",                // 仅用于执行任意命令
    "request": "^2.88.2"             // 存在漏洞的版本
  }
}

一个远程执行脚本隐藏在 dark.min.js 中，使用 atob + eval 来运行来自网络的代码。

原帖： LinkedIn – João Pessoa

Muhammad Ramadhani

他收到的项目与前者完全相同，使用了相同的恶意包。他的警告在 Web3 开发者中迅速传播。

个人资料： LinkedIn – Muhammad Ramadhani

我的亲身经历

是的，我也在今年收到了这种诈骗。警示信号包括：

• 公司声称是 “X”，但招聘者的邮箱是 gmail.com。
• 仓库 与公司名称毫不相关。
• 项目涉及加密货币（同样的模式）。
• 代码结构异常。
• 急于让你在任何技术通话之前就运行应用。

我收到的仓库：mega-org99/Coinpromoting_dApp

Allan 回答说他的诈骗使用了另一个类似的仓库：megaorg991/tokentradingdapp —— 结构相同，手法相同。

我的直觉占了上风，我 立刻放弃了整个流程。宁愿失去一个“机会”，也不愿冒机器、账户和数据的风险。

实用防护措施

1. 绝不要在陌生人发送的项目上直接执行 npm install、yarn 或 pip install。
   打开 package.json、requirements.txt、composer.json 等文件，检查是否有未知的包、唯一版本或奇怪的名称。

2. 对在正式通话前就收到的任何测试保持警惕。
   骗子不会进行面试——直接发“测试”。

3. 搜索招聘者和公司的信息。
   Gmail 邮箱 = 红旗。

4. 要求面试官在通话中解释项目。
   骗子通常会回避这一步。

5. 使用 ChatGPT（或其他 AI）分析可疑依赖。
   把依赖列表粘贴进去，请求对可能的恶意软件进行分析。

6. 如果看起来好得不真实…就要怀疑。
   远高于市场水平的报价往往是陷阱。

最后总结

这不是夸大——而是预防。

骗子针对开发者的原因：

• 开发者会运行代码。
• 开发者拥有生产环境机器的访问权。
• 开发者保存 token、SSH 密钥、钱包。
• 开发者过度信任“技术测试”。

别上当。如果有什么不对劲，立刻退出。你的直觉是和杀毒软件同等重要的安全工具。