채용 과제, 수상한 코드는 절대 금지!
by DD
5개월 전
조회수 74
채용 과정에서 악성 코드를 포함한 과제를 제시하는 피싱 시도가 발생하여 주의가 요구됨
VSCode 자동 실행 스크립트를 통해 악성 JS 코드를 다운로드하여 개인 정보를 탈취하려 함
커뮤니티는 VM 사용, 코드 검토, 평판 확인 등 보안 수칙 준수를 강조함
악성 코드 배포 방식 분석
피싱 공격은 VSCode 자동 실행 기능을 악용하여 사용자의 시스템에 악성 코드를 침투시킨다. 구체적으로, JSON 파일 형태로 위장한 난독화된 JavaScript 코드를 다운로드하여 실행한다. 따라서, 채용 과제에서 제공하는 코드는 반드시 안전한 환경에서 실행하고, 코드 리뷰를 통해 악성 여부를 확인해야 한다.
보안 사고 예방을 위한 조치
악성 코드 감염을 막기 위해 VM (Virtual Machine) 또는 샌드박스 환경을 활용하는 것이 중요하다. 또한, 코드의 출처를 확인하고, 자동 실행 스크립트의 존재 여부를 면밀히 검토해야 한다. 반면, 채용 담당자의 LinkedIn 프로필 및 회사의 평판을 확인하는 것도 필수적인 예방 조치이다.
커뮤니티의 반응과 교훈
커뮤니티는 채용 시장의 취약성을 악용한 공격에 대해 경각심을 높였다. 따라서, 의심스러운 채용 제안에 대해서는 신중하게 접근하고, 개인 정보 보호를 최우선으로 해야 한다. 결과적으로, 개발자들은 보안 의식을 강화하고, 안전한 개발 습관을 생활화해야 한다.
