Il finto colloquio su LinkedIn nasconde un malware: 'Mi hanno chiesto di analizzare il codice'

Un ingegnere informatico ha rilevato e bloccato un tentativo di intrusione informatica orchestrato tramite una falsa offerta di lavoro su LinkedIn. I malintenzionati, spacciatisi per i reclutatori di una startup operante nel settore delle criptovalute, hanno agganciato il professionista richiedendo una revisione tecnica di un codice sorgente ospitato su un repository pubblico di GitHub.

La trappola si nascondeva dietro la richiesta di analizzare un presunto problema relativo a moduli Node deprecati. L'analisi approfondita del codice, eseguita all'interno di un ambiente virtuale protetto e isolato su un server VPS di Hetzner, ha invece rivelato la presenza di una backdoor progettata per assumere il controllo della macchina della vittima. Come spiegato dalla stessa vittima, Roman Imankulov, in un post sul suo blog, l'architettura malevola risiedeva nel file app/test/index.js, camuffata all'interno di circa 250 linee di codice strutturate per apparire come una comune suite di test software.

Malware via LinkedIn: il meccanismo di attivazione automatica tramite NPM

Esaminando lo script emerge come l'applicazione ricomponga un indirizzo web specifico unendo diversi frammenti di stringhe: i valori definiti includono il protocollo HTTPS, il dominio store, il sottodominio rest-icon-handler e il percorso /icons/77. Una volta stabilita la connessione con l'host remoto https://rest-icon-handler.store/icons/77, il codice nascosto tra linee di test commentate esegue qualsiasi payload inviato dal server direttamente sul sistema locale.