警告开发者：新一波“technical test scams”正针对开发者

Source: Dev.to

诈骗的运作方式（每次都是同样的模式）

1. 一位“招聘人员”（有时冒充 CEO/HR）联系你。
2. 工作看起来非常诱人——高于市场的薪资、远程岗位、以美元支付等。
3. 他们要求你的简历和 GitHub。
4. 他们在没有真正面试的情况下告诉你已“通过下一阶段”。
5. 在通话之前，他们会发送一个 代码库让你审查或修改，声称是“技术测试”。

运行该项目会执行隐藏在依赖中的恶意脚本，导致远程代码执行，攻击者可以访问你的机器——尤其是浏览器钱包和本地凭证。

社区中的真实案例

Allan Lancioni

他逆向工程了实际攻击。项目中包含能够实现代码注入和加密钱包盗取的脚本。
他的帖子（强烈推荐）：
Como identifiquei um golpe em teste técnico – análise real

João Pessoa

他收到一个可疑的仓库作为“技术测试”。在 package.json 中发现：

{
  "dependencies": {
    "fs": "0.0.1-security",          // 当恶意包被移除时插入的占位符
    "execp": "0.0.1",               // 用于执行任意命令的恶意包
    "request": "^2.88.2"           // 已废弃且存在漏洞
  }
}

隐藏在 dark.min.js 中的远程代码执行脚本使用 atob + eval。
他的帖子：

Muhammad Ramadhani

收到几乎相同的项目，包含相同的恶意依赖。他的警告在 Web3 社区迅速传播。
个人资料：

我的亲身经历

是的——他们也对我这么做过。

警示信号

• 公司声称是 “X”，但招聘人员使用的是 gmail.com 邮箱。
• 仓库与公司名称毫无关联。
• 项目涉及加密货币（再次出现相同模式）。
• 代码结构可疑。
• 他们催促我在任何技术通话之前就运行项目。

我收到的仓库

• mega-org99/Coinpromoting_dApp
• Allan 甚至回复说他收到的仓库极其相似：megaorg991/tokentradingdapp

结构相同，依赖相同，作案手法相同——很可能是 同一团伙。

我的直觉告诉我——我 立即终止了流程。宁可失去一个“工作机会”，也不愿让机器、账户和数据受到威胁。

如何自我保护（实用检查清单）

1. 绝不要在未知项目上执行 npm install、yarn 或 pip install。
   先打开依赖文件查看。留意可疑的包、单一版本模块、奇怪的名字等。
2. 对任何在正式对话前发送的测试保持怀疑。
   诈骗者会跳过面试，直接推送代码库。
3. 检查招聘人员的邮箱和公司域名。
   Gmail = 红旗。
4. 要求对项目进行技术解释。
   诈骗者会回避通话。
5. 使用 ChatGPT（或其他 AI）分析可疑代码。
   粘贴依赖 → 它会立即标记出恶意模式。
6. 如果一个报价好得令人难以置信……它很可能就是骗局。
   高薪 + “简单测试” + 无面试 = 诈骗公式。

最后提醒

这不是偏执——而是防护。诈骗者针对开发者的原因在于：

• 开发者会运行代码。
• 开发者保存 SSH 密钥、API 令牌、环境变量等机密。
• 开发者常拥有企业访问权限。
• 开发者过于轻信“技术测试”。
• 从事 Web3/加密领域的开发者尤为脆弱。

如果感觉有点不对劲，立刻退出。你的直觉本身就是一种安全工具。保持安全，审计所有内容，切勿盲目信任。