한 개발자가 LinkedIn에서 솔깃한 채용 제안을 받는다. 면접 과제로 건네받은 GitHub 저장소를 아무 의심 없이 실행했다면 큰일 날 뻔했다. 코드 깊숙한 곳에는 난독화된 자바스크립트가 숨어 있었고, 외부 서버에서 2차 페이로드를 내려받아 실행하며 브라우저 자격증명과 암호화폐 지갑 정보를 빼내는 백도어였다. 저자는 실행 전 수상한 난독화 문자열을 발견하고 한 줄씩 디코딩하며 공격의 실체를 밝혀냈다. 이는 개발자를 표적으로 한 'Contagious Interview' 캠페인의 전형으로, 북한 연계 그룹이 즐겨 쓰는 수법이다. 핵심 교훈은 분명하다. 면접 과제든 오픈소스 샘플이든 출처가 불분명한 코드는 절대 메인 PC에서 바로 돌리지 말고, 격리된 VM이나 컨테이너에서 검증할 것. 매력적인 제안일수록 의심하고, 의존성과 설정 파일까지 직접 들여다보는 습관이 당신의 자산과 회사를 지킨다.
이 글도 읽어보세요
이 뉴스가 유용했나요?
TTJ 코딩클래스 정규반
월급 외 수입,
코딩으로 만들 수 있습니다
17가지 수익 모델을 직접 실습하고, 1,300만원 상당의 자동화 도구와 소스코드를 받아가세요.
144+실전 강의
17개수익 모델
4.9수강생 평점
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공