最近駭客開始狂盯軟體工程師下手。乍看之下好像很奇怪——明明工程師就是最懂科技的人,為什麼不去騙那些比較不懂的人?但其實,只要入侵一個工程師的電腦,對駭客來說回報反而更大。
為什麼工程師這麼值錢
簡單講,一旦駭進工程師的電腦,就有機會直接拿到原始碼、帳密、驗證資訊,甚至整個開發環境。
如果公司是做軟體給別人用的,駭客還可以直接把惡意程式塞進產品裡,變成供應鏈攻擊,一次感染一堆客戶。
如果是公司內部系統,那工程師電腦就像「跳板」,可以一路往公司內網擴散。
而且就算只是為了賺加密貨幣,這類惡意程式也不會只改錢包地址,它會把能偷的資料全部撈走,尤其是帳密跟登入憑證。
這些東西就算駭客自己不用,也可以轉賣給其他更專業的攻擊者。)
為什麼工程師反而很好騙
實際上,工程師對資安的警覺,沒有自己想像中那麼強。
很多人會有一種「我很懂,不會中招」的心態,結果反而更容易出事。
像是:
- 覺得麻煩就跳過安全流程
- 為了方便直接關掉防毒
- 常常下載、執行各種外部程式
這些習慣加在一起,反而讓工程師變成很好下手的目標。
駭客怎麼攻擊工程師
1. 汙染開源套件(超常見)
駭客會把惡意程式塞進開源套件裡。
像 2026 年就有一個案例,熱門的 Python 套件 LiteLLM 被動手腳,只要有人用到,就會被偷帳密。
2. 假面試題(其實是病毒)
駭客會假裝徵才,給你一個「回家作業」。
你只要下載、跑起來,就會自動裝後門,整台電腦直接被遠端控制。
3. 假工具(騙你自己裝)
像最近很常見的,就是假 AI 工具。
例如假冒 Claude Code 的網站,看起來跟官方一模一樣,還教你怎麼安裝。
結果你照做,其實是把木馬裝進去。
4. 社交工程(老招但很有效)
有案例是駭客假裝大公司老闆,約工程師面試。
然後在假的 Microsoft Teams 裡面跳出「你版本太舊要更新」,
你一按更新,就中毒了。
5. 假通知(GitHub 也會中)
駭客會在 GitHub 留言區發假警告,說 VS Code 有重大漏洞。
你點連結下載「修正版」,其實是病毒。
怎麼防比較安全(簡單講重點)
- 安全要變成日常流程的一部分(不要當額外負擔)
- 套件、依賴都要檢查來源
- 工程師也要上資安課(真的需要)
- 持續追最新攻擊手法
資料來源: Targeting developers: real-world cases, tactics, and defense strategies | Kaspersky official blog