Die 'Kollaborateur'-Falle: Warum du NIEMALS den Bot eines Freundes 'testen' solltest

Zusammenfassung: Social Engineering dreht sich nicht nur um falsche Jobs. Es geht um falsche Freundschaften. Dieser Artikel untersucht den „Hilf mir, einen Bug zu fixen“-Betrug auf Discord und Telegram, wo Angreifer Kollaboration nutzen, um Entwickler zum Klonen bösartiger Repos zu verleiten.

---

---

1. Die Annäherung: „Kannst du mir bei diesem Bug helfen?“

Du bist in einem Discord-Channel einer beliebten Web3-Bibliothek (wie Ethers.js oder Hardhat). Ein Nutzer schreibt dir eine DM oder postet öffentlich:

„Hey Dev, ich arbeite an einem Arbitrage-Bot, aber ich bekomme einen seltsamen Gas-Fehler auf Sepolia. Kannst du mal draufschauen? Ich stecke fest.“

Sie fragen nicht nach Geld. Sie fragen nicht nach deiner Seed-Phrase. Sie spielen mit deiner Neugier und deiner Hilfsbereitschaft.

Sie senden einen GitHub-Link. Es sieht aus wie ein Standard-Hardhat-Projekt.

2. Die Payload: Das „Test“-Skript

Du klonst das Repo. Du checkst den contracts/-Ordner. Der Solidity-Code sieht okay aus – vielleicht etwas unordentlich, aber sicher.

Der Betrüger sagt: „Lass einfach das Test-Skript laufen, dann siehst du den Fehler.“

Du tippst:

npm install

npx hardhat test

Game Over.

Während der Test läuft und einen gefälschten „Gas Error“ in der Konsole druckt, hat ein Hintergrundprozess (versteckt in einer leicht modifizierten Abhängigkeit oder in einer verschleierten test.js-Datei) bereits:

1. Deinen ~/.config-Ordner gescannt.
2. Deine browser_data (Chrome/Brave lokaler Status) gefunden.
3. Deine gespeicherten Passwörter und MetaMask-Keystores entschlüsselt.
4. Das gebündelte Paket an einen Remote-Server hochgeladen.

3. Die „Game Tester“-Variante

Eine weitere häufige Variante, die auf Gamer abzielt:

„Ich baue ein Web3-Spiel (wie Axie/Pixels) und brauche Beta-Tester. Ich zahle dir 100 $ in ETH, nur um 20 Minuten zu spielen.“

Sie senden dir eine .exe oder eine Installationsdatei.

Der Betrug: Das Spiel ist echt (oft ein gestohlenes Unity-Template), aber der Installer schleust eine „Clipper-Malware“ ein.

• Clipper-Malware: Sie überwacht deine Zwischenablage. Wenn du eine Wallet-Adresse kopierst, um eine Überweisung zu tätigen, ersetzt sie die Adresse sofort durch die des Hackers. Du sendest das Geld an den Angreifer, ohne es zu merken.

4. Wie man einen „Kollaborateur“ erkennt

• „Private“ Repos: Legitime Open-Source-Hilfe findet in öffentlichen Issues statt, nicht in DMs oder ZIP-Dateien.
• Verschleierter Code: Wenn du eine Datei im Repo siehst (wie lib/utils.js), die eine lange Zeile zufälliger Zeichen ist (var _0x5a1...), lösche sie sofort.
• Drängen zum Ausführen: Wenn sie ungeduldig werden, wenn du sagst „Ich lese erst den Code“, blockiere sie.

5. Das Verteidigungsprotokoll: Die Sandbox

„Hilf“ niemals Fremden auf deiner Hauptmaschine.

1. Nutze Replit / CodeSandbox: Importiere ihr Repo in eine Cloud-Umgebung. Wenn es Malware enthält, infiziert es den Cloud-Container, nicht deinen PC.
2. VM-Isolierung: Wie in unserem Guide zum Ansteckenden Interview erwähnt, nutze eine Virtuelle Maschine für jeden Code, den du nicht selbst geschrieben hast.
3. Skripte auditieren: Lies immer package.json-Skripte, bevor du npm install ausführst.

Siehe auch: Hüte dich vor „Schnell reich werden“-Bot-Tutorials auf YouTube. Das sind oft getarnte MEV-Bot-Betrügereien.

Fazit

In Open Source wird Vertrauen verdient, nicht verschenkt. Ein „verbuggter Bot“ ist der älteste Trick im Buch. Wenn jemand Hilfe braucht, soll er ein Code-Snippet oder Gist posten – klone niemals das Repo eines Fremden.