北韓假面試攻擊

Q: 如何預防北韓假面試攻擊？

收到陌生 recruiter 訊息，先查對方 LinkedIn 的帳號年齡、貼文活動和共同 connection。Google 搜尋「公司名稱 + scam」或「公司名稱 + review」確認公司是否真實存在。所有面試 code 一律在 Docker container 或 VM 裡執行，絕不在主機環境跑。執行任何陌生 repo 前，先用 cat package.json 檢查 scripts，grep 搜尋 Base64 或 eval 字串。面試環境不存放任何 API key、wallet seed phrase 或 .env 檔案。對薪資開得異常高的機會保持懷疑，「好到不像真的」通常就是假的

Q: 遇到北韓假面試攻擊怎麼辦？

立刻將加密貨幣錢包資產轉移到全新地址（新建 seed phrase，舊錢包視為已淪陷）。立刻 rotate 所有 API keys、GitHub personal access tokens、AWS/GCP credentials。掃描電腦找惡意程式（推薦：Malwarebytes、Kaspersky Free、或重灌作業系統）。檢查 ~/.ssh、~/.aws、~/.config 等目錄是否有異常存取或新增的憑證檔案。若在美國，向 FBI IC3（ic3.gov）通報；在台灣向刑事局 165 反詐騙專線通報。通知雇主，若公司 API key 或 repo 可能外洩，立即啟動資安事件處理程序

高偶發

Contagious InterviewLazarus 假面試攻擊北韓 LinkedIn 詐騙假 recruiter 攻擊BeaverTail 攻擊

📋 說明

北韓 Lazarus 駭客集團透過 LinkedIn 假扮獵頭或 recruiter，以遠端高薪工作為誘餌鎖定加密貨幣、區塊鏈和行動應用開發工程師。受害者被邀請「面試」，過程中要求 clone 含有惡意程式碼的 GitHub repo、下載偽裝成面試題的 PDF 或安裝特定 VS Code extension。一旦執行 npm start 或開啟檔案，隱藏的惡意程式就會連線 C2 伺服器，竊取 .env 檔案、API keys、加密貨幣錢包私鑰及 GitHub tokens。此攻擊手法又稱「Contagious Interview」，自 2023 年起持續活躍，主要針對遠端工作者。

🔄 常見詐騙流程

第一步：駭客在 LinkedIn 或 Telegram 以獵頭身份主動接觸目標工程師

第二步：以高薪遠端職缺吸引興趣，進入非正式「前測」環節

第三步：要求 clone GitHub repo 或下載 PDF 當面試題，聲稱「跑起來看看效果」

🚩 紅旗特徵

⚠️

LinkedIn 帳號很新（建立不到半年）、connection 很少、profile 照片過度完美

⚠️

公司官網精美但內容空洞，沒有實際員工或產品資訊

⚠️

repo 的 package.json 或 requirements.txt 包含不明套件，或安裝腳本有 Base64 編碼字串

⚠️

面試「公司」無法在 Google 搜到真實媒體報導或 LinkedIn 公司頁面

⚠️

要求在個人電腦上直接執行面試題，而非提供 sandbox 環境

⚠️

整個招募過程只透過 LinkedIn DM 或即時通訊進行，沒有公司郵件往來

📰 最新相關案例

新澤西兩名男子因經營北韓筆記型電腦農場被判重刑

2026/4/16

美國司法部指出，兩名新澤西男子因經營被北韓政府控制的筆記型電腦農場，非法獲利超過500萬美元，分別被判處九年及近八年的監禁。此案件揭露了北韓透過網路犯罪集團進行大規模洗錢與詐騙的組織性犯罪手法。

TheRecord原文出處 ↗

美國公民因協助北韓IT人員偽裝成居民求職入獄

2026/4/16

兩名美國公民因協助北韓遠程IT人員偽裝成美國居民，成功騙取超過100家美國公司（含多家財富500強企業）的聘僱機會而入獄。此案件揭露了利用AI技術與身份偽造進行的跨境求職詐騙，嚴重破壞就業市場安全。

BleepingComputer原文出處 ↗

⚡ 觸發情境

LinkedIn 收到陌生 recruiter 私訊，公司與加密貨幣或區塊鏈有關

對方主動詢問薪資期待，開出遠超市場行情的條件（$90-110/hr 或月薪 $15-20k USD）

面試題要求 clone 一個 GitHub repo，README 說先裝 dependencies 再跑 npm start

面試資料要求下載 PDF、ZIP 檔案或安裝特定 VS Code extension

面試流程完全非同步，沒有視訊面試或只有 AI 面試

對方催促快點執行程式碼或下載檔案才能進入下一關

🛡️ 如何預防

✓

收到陌生 recruiter 訊息，先查對方 LinkedIn 的帳號年齡、貼文活動和共同 connection

✓

Google 搜尋「公司名稱 + scam」或「公司名稱 + review」確認公司是否真實存在

✓

所有面試 code 一律在 Docker container 或 VM 裡執行，絕不在主機環境跑

✓

執行任何陌生 repo 前，先用 cat package.json 檢查 scripts，grep 搜尋 Base64 或 eval 字串

✓

面試環境不存放任何 API key、wallet seed phrase 或 .env 檔案

✓

對薪資開得異常高的機會保持懷疑，「好到不像真的」通常就是假的

🆘 已受害怎麼辦

立刻將加密貨幣錢包資產轉移到全新地址（新建 seed phrase，舊錢包視為已淪陷）

立刻 rotate 所有 API keys、GitHub personal access tokens、AWS/GCP credentials

掃描電腦找惡意程式（推薦：Malwarebytes、Kaspersky Free、或重灌作業系統）

檢查 ~/.ssh、~/.aws、~/.config 等目錄是否有異常存取或新增的憑證檔案

若在美國，向 FBI IC3（ic3.gov）通報；在台灣向刑事局 165 反詐騙專線通報

通知雇主，若公司 API key 或 repo 可能外洩，立即啟動資安事件處理程序

📞 165 反詐騙 🚔 110 報警

🔍 遇到可疑情況？

使用情境檢查，AI 即時分析風險