Tem golpe de vaga que já não tenta só roubar currículo, contato ou teste grátis. Agora a isca pode vir em formato de repositório público, com cara de tarefa técnica inocente, mas pronto para executar código remoto na sua máquina assim que você instala as dependências.
Foi esse o caso relatado pelo engenheiro Roman no post A backdoor in a LinkedIn job offer. Segundo ele, uma recrutadora de uma suposta startup cripto entrou em contato pelo LinkedIn, conversou alguns dias sobre uma vaga de liderança técnica e depois enviou um GitHub público para revisão. O pedido era específico: olhar um problema com módulos Node depreciados. A armadilha era fazer a vítima rodar npm install.
O autor desconfiou, subiu um VPS descartável, abriu o projeto num ambiente isolado e pediu só leitura de arquivos. O alerta veio quase na hora: um arquivo que parecia suíte de testes escondia a montagem de uma URL remota e um payload pronto para executar no servidor tudo o que viesse dali.
O truque estava escondido onde muita gente passa batido
Segundo o relato, o arquivo suspeito ficava em app/test/index.js, no meio de trechos comentados que imitavam bagunça de projeto real. A parte mais importante não era só o código estranho: o projeto carregava esse arquivo no fluxo normal da aplicação e o package.json amarrava tudo ao script prepare.
Isso importa porque a própria documentação do npm diz que prepare roda em instalações locais e faz parte do ciclo disparado por npm install. Em português claro: não era preciso “executar o teste” manualmente. Bastava instalar as dependências para o gatilho entrar em ação.

O detalhe que deixa o caso pior: identidade emprestada dos dois lados
Roman relata que os commits do repositório apareciam assinados com nome e e-mail de um desenvolvedor real, com histórico público normal no GitHub e presença legítima no LinkedIn. Ao falar com essa pessoa, ele ouviu que o projeto não era dela e que ela já vinha sendo impersonada em outros repositórios.
Do outro lado, a suposta recrutadora também usava a identidade de uma pessoa real, sem trajetória técnica pública. Quando o autor fingiu dificuldade para instalar o projeto, a recrutadora passou a discutir versão de Node e detalhes de npm como se aquilo fosse rotina.
É isso que faz o caso fugir do clichê do golpe malfeito. Não era um e-mail cheio de erro gritante. Era um fluxo plausível para um mercado em que muita gente recebe contato frio, faz teste em cima da hora e sente pressão para responder rápido.

O Hacker News mostrou por que essa história bateu tão forte
Quando o caso chegou ao Hacker News, a discussão foi além do susto técnico. Teve gente dizendo que a combinação de mercado apertado com contato por LinkedIn cria o terreno perfeito para esse tipo de armadilha. Outros relataram falsos recrutadores aparecendo como se trabalhassem em empresas reais, com perfil convincente, posts frequentes e até selo de produto pago.
Também apareceu um ponto importante para quem vive desenvolvimento: o prejuízo de um ataque assim não é só “derrubar a máquina”. Comentários na thread lembram que scripts desse tipo podem mirar variáveis de ambiente, chaves SSH, carteiras cripto, tokens de CI e qualquer segredo disponível naquele ambiente de trabalho.
Ou seja: o risco não para no candidato. Ele pode escalar para acesso a repositórios, pipelines e infraestrutura.
O que vale fazer antes de abrir código vindo de vaga
- Nunca rode instalação direto na sua máquina principal. Se o processo pedir código, repositório ou ambiente, use VM, container isolado ou VPS descartável.
- Leia o
package.jsonantes donpm install. Scripts comoprepare,preinstallepostinstallmerecem suspeita imediata. - Desconfie de urgência técnica fabricada. Quando o recrutador insiste para você “só instalar e testar rapidinho”, o risco sobe.
- Valide a pessoa e a empresa por fora do chat. Site oficial, domínio do e-mail, página de carreiras e presença pública coerente ainda ajudam muito.
- Proteja seus segredos como se todo ambiente de teste pudesse vazar. Não exponha SSH, tokens, cloud creds ou acesso de produção num notebook usado para desafio técnico.
O ponto editorial aqui é simples
O LinkedIn virou parte do fluxo normal de contratação em TI, mas isso não significa que todo contato ali mereça confiança operacional. Neste caso, o golpe não pedia dinheiro nem documento de cara. Pedia um hábito comum de dev: instalar dependências para olhar um projeto.
É justamente por isso que o relato pesa. Ele mostra como segurança, carreira e rotina técnica se misturaram de vez. Em 2026, avaliação técnica maliciosa não parece mais coisa de filme ruim; parece trabalho chegando no inbox numa terça-feira qualquer.
Se você está procurando vaga, a régua prática fica assim: repositório de processo seletivo é código de terceiro. E código de terceiro, em máquina principal, sem isolamento, já devia ser tratado como risco por padrão.