کالبدشکافی کلاهبرداری لینکدین: تله‌ی npm install برای سرقت دسترسی برنامه‌نویسان

اگر برای تست‌های فنیِ استخدام در لینکدین (LinkedIn) کد اجرا می‌کنید، یک دستور ساده‌ی npm install می‌تواند کنترل کامل سیستم شما را به یک غریبه بدهد. یک اشتباه کوچک، فرصت شغلی شما را به یک نقض امنیتی تبدیل می‌کند.

مهندسی اجتماعی (Social Engineering) — شبیه دزدی است که دقیقاً می‌داند شما چه کلیدی دارید تا خودش را عضو خانواده جا بزند — اکنون مهارت‌های خاص فنی را هدف قرار داده است. مهاجمان ابتدا با جعل هویت متخصصان در لینکدین و گیت‌هاب اعتماد جلب می‌کنند و سپس بدافزار را می‌فرستند. همان‌طور که در تحلیل قبلی ما درباره‌ی امنیت مدل‌های بازمتن اشاره کردیم، اعتماد کورکورانه به منابع متن‌باز، بزرگ‌ترین نقطه ضعف امنیتی امروز است.

به نقل از گزارش یک برنامه‌نویس در ۱۵ ژوئن ۲۰۲۶، یک کلاهبردار در قالب استخدام‌کننده یک استارت‌آپ کریپتویی با او تماس گرفت. مهاجم یک مخزن گیت‌هاب (GitHub) فرستاد و از او خواست تا «ماژول‌های قدیمی Node» را اصلاح کند.

طبق بررسی مستندات فنی، تله در فایل app/test/index.js پنهان شده بود. وقتی کاربر دستور npm install را اجرا می‌کند، اسکریپتِ prepare در فایل package.json به‌طور خودکار کد node app/index.js را اجرا می‌کند.

این اسکریپت یک درگاه پشتیبان (Backdoor) — شبیه یک کلید یدک مخفی است که دزد برای ورود دوباره‌تر به خانه می‌سازد — ایجاد می‌کند. این درگاه به آدرس https://rest-icon-handler.store/icons/77 متصل می‌شود تا دستورات از راه دور را اجرا کند. جالب است که مهاجم برای ۳۹ کامیت در این مخزن، نقش یک مهندس Full-stack را بازی کرده بود، در حالی که پروفایل لینکدین او متعلق به یک روزنامه‌نگار هنر بود.

این مورد ثابت می‌کند که اعتماد در دنیای استخدام Remote یک ریسک است. هرگز کدهای شخص ثالث را روی سیستم شخصی اجرا نکنید. برای بررسی این کدها از یک VPS موقت یا محیط Sandbox استفاده کنید. نکته غافلگیرکننده این است که یک عامل هوش مصنوعی (AI Agent) — شبیه کارمندی متخصص است که نه‌تنها دستور می‌خواند، بلکه می‌تواند با کیبورد و موس کار را پیش ببرد — این بدافزار را در چند ثانیه پیدا کرد. کدها به‌گونه‌ای «ناپخته» نوشته شده بودند که باعث می‌شد چشم انسان آن‌ها را نادیده بگیرد اما هوش مصنوعی متوجه نیت مخفی شود.

گام بعدی شما

• لیست ارتباطات لینکدین خود را برای تغییرات ناگهانی در تخصص افراد بررسی کنید.
• قبل از کپی کردن مخازن جدید، از یک عامل هوش مصنوعی برای اسکن درخواست‌های شبکه مشکوک استفاده کنید.
• برای هرگونه تست فنی، محیط‌های ایزوله (Containerized) را جایگزین سیستم اصلی کنید.

اما خطر واقعی وقتی است که هوش مصنوعی خودش شروع به نوشتن این کدهای مخفی کند؛ در تحلیل ما درباره‌ی حملات خودکار بررسی کنید.