面試官寄工作邀約　工程師一點開「慘被騙60萬」！揭HR詐騙2手法

▲工程師被詐騙60萬元。（示意圖／資料照）

記者施怡妏／綜合報導

詐騙手法不斷翻新，一名工程師表示，兩週前更新LinkedIn後收到多個工作邀約，其中一名自稱HR的人與他洽談工作內容與薪資，並給了一份藏有惡意程式碼的內容，工程師雖然提高警覺、甚至先用AI檢查，仍不幸遭盜走錢包密鑰，損失新臺幣60萬元，並點出這類「HR詐騙」有2個特點，提醒大家多留意。

更新LinkedIn後被詐騙集團找上

一名工程師在Threads發文，更新LinkedIn後很快就有人聯繫，其中一名HR在初步聊過工作內容與薪資後，提出要進一步聊聊，並稱公司產品已經有MVP，請他先看看專案、提供意見。對方傳來的是一個公開的個人GitHub Repo，但該帳號底下只有這一個專案，讓他覺得「看起來有點詭異」。

用AI掃描專案　揪出遠端惡意碼

原PO指出，下載後稍微看了一下程式碼，內容蠻多的，「一般來說我看到開源的專案會直接跑跑看實際上成品是什麼，但跟她的對話還有這個Repo，讓我有一種不對的感覺」，於是他改用DeepWiki先掃描並詢問AI是否安全。

結果出現幾個可疑的地方，不過他看過後，發現都是假警報，隨後他再用Gemini CLI檢查，結果真的掃出一個地方可以Remote Execution（遠端遙控你的電腦做事），他驚呼，「如果我沒有突然警覺這個東西有問題，就直接跑下去，電腦上所有機密都飛了，損失可能上百萬，接下來幾天又看到好幾個詐騙的帳號來敲，真的是超危險。」

他也整理出，觀察到這類詐騙的HR都有2個特徵，第一點是對方會一直引導去meeting，第二點是對問題不正面回答。他指出，對方給的GitHub Repo乍看正常，還顯示連續數月有兩個貢獻者輪流提交，且確實做出與描述相近的產品，但他追查提交紀錄後發現疑點，包括Contributor的commit沒有簽名、部分commit訊息與實際內容對不上，且遠端惡意碼藏在看似日常的提交之中。

他也透露，「發現已經被偷了臺幣60萬。只要用vscode開起來這個資料夾，電腦就開花了。」