01
上周,一位小型加密创业公司招聘者在 LinkedIn 发来招聘信息,邀请我审查其公开 GitHub 仓库并检查“已废弃的 Node 模块”。在对仓库进行只读、限制工具的隔离环境分析后,发现 app/test/index.js 中的 250 行代码伪装为测试套件,却组装出 https://rest-icon-handler.store/icons/77 并在加载时执行服务器返回的任意代码;因 package.json 的 prepare 脚本在 npm install 后自动运行,该后门会在依赖安装时触发。代码提交者和招聘者均冒用了真实开发者与文化记者的身份,表明攻击者利用社交平台诱导受害者执行恶意 npm 安装。此类攻击迫使安全审计、招聘与供应链管理人员在处理外部代码时额外投入隔离分析与身份核实的成本,以降低被植入后门的风险。







