Le Piège du 'Collaborateur' : Pourquoi ne JAMAIS 'Tester' le Bot d'un Ami

Résumé : L'ingénierie sociale ne concerne pas seulement les faux emplois. Elle concerne les fausses amitiés. Cet article explore l'arnaque « Aidez-moi à corriger un bug » sur Discord et Telegram, où les attaquants utilisent la collaboration pour inciter les développeurs à cloner des dépôts malveillants.

---

Prompts Midjourney

1. /imagine prompt: A split view of a Discord chat interface. On one side, a friendly anime avatar asking for help. On the other side, a dark web dashboard waiting for a connection, "Social Engineering" --ar 16:9
2. /imagine prompt: A developer typing "git clone" into a terminal, but the text turns into red vipers slithering out of the screen, "Malicious Repository" --ar 16:9
3. /imagine prompt: A frantic "Wallet Drained" notification on a smartphone screen, background is a blurred matrix of code, "The Aftermath" --ar 16:9

---

1. L'Approche : « Peux-tu m'aider avec ce Bug ? »

Vous êtes dans un salon Discord d'une bibliothèque Web3 populaire (comme Ethers.js ou Hardhat). Un utilisateur vous envoie un DM ou poste dans le général :

« Hey Dev, je travaille sur un bot d'arbitrage mais j'ai une erreur de Gas bizarre sur Sepolia. Tu peux jeter un œil ? Je suis bloqué. »

Ils ne demandent pas d'argent. Ils ne demandent pas votre phrase secrète. Ils jouent sur votre curiosité et votre envie d'aider.

Ils envoient un lien GitHub. Cela ressemble à un projet Hardhat standard.

2. La Charge Utile : Le Script de « Test »

Vous clonez le dépôt. Vous vérifiez le dossier contracts/. Le code Solidity a l'air correct — peut-être un peu désordonné, mais sûr.

L'escroc dit : « Lance juste le script de test, tu verras l'erreur. »

Vous tapez :

npm install

npx hardhat test

Game Over.

Pendant que le test s'exécute et affiche une fausse « Erreur de Gas » dans la console, un processus en arrière-plan (caché dans une dépendance légèrement modifiée ou dans un fichier test.js obscurci) a déjà :

1. Scanné votre dossier ~/.config.
2. Trouvé vos browser_data (État local Chrome/Brave).
3. Déchiffré vos mots de passe enregistrés et vos keystores MetaMask.
4. Uploadé le paquet vers un serveur distant.

3. La Variante « Testeur de Jeu »

Une autre variante courante ciblant les joueurs :

« Je construis un jeu Web3 (comme Axie/Pixels) et j'ai besoin de bêta-testeurs. Je te paie 100 $ en ETH juste pour jouer 20 minutes. »

Ils vous envoient un fichier .exe ou un installateur.

L'Arnaque : Le jeu est réel (souvent un template Unity volé), mais l'installateur dépose un « Clipper Malware ».

• Malware Clipper : Il surveille votre presse-papiers. Quand vous copiez une adresse de portefeuille pour effectuer un transfert, il remplace instantanément l'adresse par celle du hacker. Vous envoyez les fonds à l'attaquant sans vous en rendre compte.

4. Comment identifier un « Collaborateur »

• Dépôts « Privés » : L'aide Open Source légitime se passe dans des Issues publiques, pas dans des DM ou des fichiers ZIP.
• Code Obfusqué : Si vous voyez un fichier (comme lib/utils.js) qui est une longue ligne de caractères aléatoires (var _0x5a1...), supprimez-le immédiatement.
• Urgence d'Exécuter : S'ils s'impatientent quand vous dites « Je lis le code d'abord », bloquez-les.

5. Le Protocole de Défense : Le bac à sable (The Sandbox)

N'« aidez » jamais des étrangers sur votre machine principale.

1. Utilisez Replit / CodeSandbox : Importez leur dépôt dans un environnement cloud. S'il contient un malware, il infectera le conteneur cloud, pas votre PC.
2. VM Isolation : Comme mentionné dans notre guide Entretien Contagieux, utilisez une Machine Virtuelle pour tout code que vous n'avez pas écrit.
3. Auditez les Scripts : Lisez toujours package.json scripts avant de lancer npm install.

Voir aussi : Attention aux tutoriels de bots « Devenir Riche Rapidement » sur YouTube. Ce sont souvent des Arnaques au Bot MEV déguisées.

Conclusion

Dans l'Open Source, la confiance se gagne, elle ne se donne pas. Un « bot buggé » est le plus vieux tour du manuel. Si quelqu'un veut de l'aide, qu'il poste un extrait de code (CodeSnippet) ou un Gist — ne clonez jamais le dépôt d'un étranger.