求人オファーに見せかけて「バックドアを仕込んだGitHubリポジトリ」を送りつけられたという体験談

ソフトウェアエンジニアの求職過程では発注元の企業からコードを提示されることがあります。フルスタックエンジニアのRoman Imankulov氏は「LinkedIn経由でやり取りしていた企業からバックドアを仕込んだGitHubリポジトリが送られてきた」という体験談を共有しています。

A backdoor in a LinkedIn job offer - Roman Imankulov
https://roman.pt/posts/linkedin-backdoor/

Imankulov氏は2026年6月上旬にLinkedIn経由で「小規模な仮想通貨スタートアップの採用担当者」を名乗る人物から連絡を受けました。数回のやり取りの後に採用担当者は「Nodeモジュールの問題を確認してください」という依頼とともにGitHubリポジトリを提示してきました。

Imankulov氏にとってコードのレビュー自体は珍しいことではありませんでしたが、「何かがおかしい」という勘が働き、使い捨てのVPS内でAIエージェントツールのPi Coding Agentに「疑わしい部分があれば報告せよ」と指示しました。その結果、「『npm install』を実行するだけで外部サーバーから何らかのコードを受け取って実行する」というバックドアが仕込まれていることが判明しました。

リポジトリにはコミットログが残っており、実在する人物が開発に参加していた痕跡が残っていました。Imankulov氏が当該人物に連絡した結果、その人物は「GitHubリポジトリの乗っ取り被害に遭ったことがある」「当該リポジトリにコミットした覚えはない」と証言したそうです。

また、Imankulov氏に連絡してきた採用担当者は実在する芸術ジャーナリストのプロフィールを名乗っていたとのこと。その芸術ジャーナリストについて調べてもソフトウェアテクノロジーに関する専門知識を持っているような兆候はなかったそうですが、Imankulov氏に連絡してきた採用担当者は「pnpmではなくnpmでインストールしてみて」といったように技術的なメッセージを送信してきました。

Imankulov氏は「この種の攻撃についての知識はあったが、自分が実際に被害に遭った際は不意を突かれた感じだった。最初の数通のメッセージで違和感はあったが、もし時間に追われていたり疲れていたりしたらよく考えずに『npm install』を実行してしまったかもしれない」と述べ、求職中にコードレビューを指示されたらセキュリティー対策をしっかり行うべきという教訓を発信しています。

なお、npmの開発チームは相次ぐ悪用を受けてセキュリティー対策の強化を表明しており、2026年7月リリース予定の「npm v12」では「npm install」の実行時にスクリプトの実行が制限されるようになります。

「npm install」だけでコードが実行される時代が終了へ、npmが自動スクリプト実行を標準で停止する予定 - GIGAZINE