发布酷工作的人小心点，我收到了好像带病毒/的简历

google drive 咋不能上传压缩包

用加密可以上传，解压密码 111111

定向投毒，偷钱包的，脉脉上几过几次

现在要不让对方整到 Google docs/ms 365
要不发 pdf 自己在传上 google docs ，不在本地打开

可能他心想：这都敢点开的公司我不去

脚本下载两个文件

一个是一位 web3 倒霉蛋的 pdf 简历（来自拉勾网）
https://pan.tenire.com/down.php/c5932995bbb5708687fb1014ee01d6b9.pdf

一个是 pkg.zip ，解压同时执行 vbs
http://pan.tenire.com/down.php/83b341a1caab40ad1e7adb9fb4a8b911.zip

其中 pkg.zip 内文件：

CreateHiddenTask.vbs
api-ms-win-crt-heap-l1-1-0.dll
api-ms-win-crt-runtime-l1-1-0.dll
jli.dll
keytool.exe
msvcr100.dll
vcruntime140.dll

随便看了眼 jli.dll ，导出几个口子，还全部是 JLI_开头。不过，最逆天的是还自带 vc 运行库的，而且一点也不尊重用 mac 办公的公司啊……

@v1 卧槽，这是做什么的

@v1 #8 看着 keytool 的证书是正常的，确实是 jli 有问题

@wujiyongheng 远控 shell+偷文件

@suhu 白加黑，jli 本身是 java 内有的，但是没做校验会被直接载入。2019 年曾经大范围被使用。具体可以参阅： https://pub1-bjyt.s3.360.cn/bcms/%E5%8D%97%E4%BA%9A%E5%9C%B0%E5%8C%BAAPT%E7%BB%84%E7%BB%872019%E5%B9%B4%E5%BA%A6%E6%94%BB%E5%87%BB%E6%B4%BB%E5%8A%A8%E6%80%BB%E7%BB%93.pdf

卧槽，这么公然投毒，这个域名里面是个博客，没查到什么信息

https://www.virustotal.com/gui/url/0f0770341be1519454d23afc1dc022fcf9a46ca5b9645b516600b7f73eebcd84?nocache=1
只有 3 个报毒的

@wujiyongheng 没事的，已经确认是属于 Parallax RAT 变种的，c2 地址 206.119.175.162 ，目前服务器已挂，样本提交上去了

我司只接受纯文本简历（招聘页面上明确写了，不算刁难），
但凡收到花里胡哨样式的 docx/pdf/html+css 简历，不管有多优秀一律 pass 。

主要优点是方便检索和归档，也能筛选掉一堆批量投递的机器人以及价值观不合的应聘者。
当然也不怕被投毒了，有在纯文本中投毒的本事，根本没必要应聘我司

@gullitintanni 我还真没见过这种公司，可能国内规矩不同？全文本那一般还得重新排版。

@levelworm 挺好，md 不就是纯文本，想咋看取决于对方

@v1 还好，没在本机打开

@gullitintanni #15 那其实直接发 markdown 就行了

@v1 msvcr 给我看笑了

@v1 大佬 好奇问一下，这种病毒 火绒啥的能防御住么

@Meteora626 白加黑的伪装目的就是免杀……

@v1 学习了，我说我之前怎么小狐狸钱包被偷了 0-0 。估计就是碰到什么毒了。。。。

@Meteora626 火绒肯定防不住