Supply Chain

前言：一個「幫我看看 repo」的接案邀請 接案平台上來了一個看似正常的全端案子：一個既有的 Next.js + Node.js 網站，要我接手完成。對方很客氣地寄來 GitHub repo 邀請，請我「先看看 homepage、評估報價與里程碑」。 這是再普通不過的接案流程。但有一個習慣救了我：任何陌生的 repo，我都先靜態審查，絕不先 npm install 跑起來。 這次掃下去，在一個名字無害到不行的檔案 server/lib/serverStartup.js 裡，我看到了這輩子最不想在「客戶專案」裡看到的東西——eval()。 順著這條線往下挖，是一套設計相當精巧的隱寫術（steganography）後門：惡意碼完全不在 .js 檔裡，而是藏在 21 個國旗 SVG 圖檔的註解中。這篇文章完整拆解它的三層結構、實際行為，以及背後那套針對開發者的社交工程攻擊。 ⚠️ 本文所有惡意網域均以資安界慣例 defang（example[.]dev）處理，程式碼片段皆為去活化的分析用途，不含可直接執行的下載指令。 攻擊全貌：社交工程 + 隱寫術 + 多階段載入 這類攻擊在業界稱為 Contagious Interview（假面試／假接案），核心不是去駭你的伺服器，而是騙你親手把惡意碼跑在自己的開發機上。一個 npm run dev 就中。 整條感染鏈長這樣： flowchart TD A[接案邀請<br/>GitHub repo] --> B[npm run dev<br/>啟動 server] B --> C[env.js 載入時<br/>呼叫 runServerStartupLogs] C --> D[serverStartup.js<br/>eval Check validation] D --> E[validation 讀取<br/>21 個國旗 SVG 註解] E --> F[串接 + base64 解碼<br/>= 載入器] F --> G[回報主機 + VM 偵測<br/>拉取各竊取模組] G --> M1[剪貼簿挾持<br/>clipper] G --> M2[瀏覽器錢包<br/>+ 憑證竊取] G --> M3[檔案 / 密鑰<br/>外洩模組] G --> M4[socket.io<br/>遠端 shell RAT] classDef bait fill:#d1ecf1,stroke:#17a2b8,color:#0c5460 classDef trap fill:#fff3cd,stroke:#ffc107,color:#856404 classDef evil fill:#f8d7da,stroke:#dc3545,color:#721c24 class A,B bait class C,D,E,F,G trap class M1,M2,M3,M4 evil 精巧之處有兩層。第一層是偽裝：每個檔案單獨看都「像正常程式」——檔名叫 serverStartup、validation，函式做的事看起來是「讀國旗檔做驗證」。第二層是模組化：載入器本身很小，真正的惡意能力被拆成數個可獨立拉取的竊取模組，這正是 Contagious Interview（針對開發者的假面試／假接案）攻擊家族的典型架構。只有把整條鏈串起來，才看得出它是一套完整的竊取工具包。 ...