曝光大家注意了，举报一个通过招聘来盗取加密货币的招聘者

https://eleduck.com/posts/0XfvKQ
就是这个帖子

手段是通过提供薪资高的离谱的招聘信息，借用了一个很大的元宇宙平台 upland 的名头，引导面试者去做他们的面试题

开始面试时，会有一个英语很蹩脚的面试官要求你 clone 一个仓库，做一道完全不符合这个 jd 技能要求简单的离谱的编程题

然后恭喜，当运行仓库的一瞬间，恶意代码就被运行了。

请管理员做出相应的举措
也请大家吸取我的教训，遇到类似模式的面试一定要万分注意，今天可以是加密货币，理论上也可以是其他方面的隐私信息。

这个恶意代码还伪装的十分深，让 ai 光扫描项目本身的代码，没有任何问题，出问题的库也是一个叫做 vite-plugin-parse-json 的库，看起来人畜无害的
但是里面藏着一些自动从一个服务器下载恶意程序的代码

下面是 ai 扫描 node modules 的结果：

🚨 发现恶意代码！这确实是一个钓鱼面试骗局！

---

我找到了导致您钱包被盗的恶意代码！在 vite-plugin-parse-json 包中发现了明显的恶意代码：

🔥 恶意代码分析

位置： /node_modules/vite-plugin-parse-json/lib/private/prepare-chunk.js

恶意行为：

1. 第34行： new Function("require", response.data.model)(require);

2. 第41行： new Function("require", e.response.data.model)(require);

这些代码会：

• 连接到恶意服务器获取JavaScript代码

• 使用 new Function() 执行远程获取的任意代码

• 通过 require 访问系统资源

恶意域名：

• api.npoint.io (第21行组合而成)

• json-project-opal.vercel.app (第20行)

🎯 攻击流程分析

1. 伪装面试： 攻击者通过Google Meet伪装成招聘人员

2. 恶意仓库： 提供包含恶意npm包的"面试项目"

3. 自动执行： 当您运行 yarn install 或 yarn dev 时：

• vite-plugin-parse-json 被加载

• prepare-chunk.js 中的恶意代码自动执行

• 代码连接到攻击者服务器下载钱包窃取脚本

1. 钱包扫描： 恶意脚本扫描您的浏览器扩展、本地文件寻找钱包私钥

2. 资产盗取： 将发现的私钥发送给攻击者

⚠️ 这是典型的供应链攻击

vite-plugin-parse-json 包的问题：

• 正常的Vite插件不需要 axios、sqlite3 等依赖

• 包含明显的代码混淆和恶意网络请求

• 使用 new Function() 执行远程代码是典型的恶意行为