한 개발자가 LinkedIn에서 솔깃한 채용 제안을 받는다. 면접 과제로 건네받은 GitHub 저장소를 아무 의심 없이 실행했다면 큰일 날 뻔했다. 코드 깊숙한 곳에는 난독화된 자바스크립트가 숨어 있었고, 외부 서버에서 2차 페이로드를 내려받아 실행하며 브라우저 자격증명과 암호화폐 지갑 정보를 빼내는 백도어였다. 저자는 실행 전 수상한 난독화 문자열을 발견하고 한 줄씩 디코딩하며 공격의 실체를 밝혀냈다. 이는 개발자를 표적으로 한 'Contagious Interview' 캠페인의 전형으로, 북한 연계 그룹이 즐겨 쓰는 수법이다. 핵심 교훈은 분명하다. 면접 과제든 오픈소스 샘플이든 출처가 불분명한 코드는 절대 메인 PC에서 바로 돌리지 말고, 격리된 VM이나 컨테이너에서 검증할 것. 매력적인 제안일수록 의심하고, 의존성과 설정 파일까지 직접 들여다보는 습관이 당신의 자산과 회사를 지킨다.