La Trappola del Collaboratore: Perché Non Devi 'Testare' il Bot del Tuo Amico

Riassunto: L'ingegneria sociale non riguarda solo lavori falsi; riguarda false amicizie. Questo articolo indaga la truffa "Aiutami a risolvere questo bug" su Discord/Telegram. Gli aggressori usano la collaborazione per far clonare agli sviluppatori repository malevole.

---

---

1. L'Approccio: "Puoi aiutarmi con questo bug?"

Sei in un canale Discord di una popolare libreria Web3 (come Ethers.js o Hardhat). Un utente ti invia un DM o pubblica nella chat generale:

“Ehi Dev, sto costruendo un bot di arbitraggio, ma ricevo questo strano errore gas su Sepolia. Puoi darci un'occhiata? Sono bloccato.”

Non chiedono soldi. Non chiedono la tua seed phrase. Fanno leva sulla tua curiosità e sulla tua voglia di aiutare.

Ti inviano un link GitHub. Sembra un progetto Hardhat standard.

2. Il Payload: Lo Script di "Test"

Cloni la repo. Controlli la cartella contracts/. Il Solidity sembra a posto — forse un po' disordinato, ma sicuro.

Il truffatore dice: "Prova a eseguire lo script di test, è lì che compare l'errore."

Digiti:

npm install

npx hardhat test

Game over.

Mentre il test viene eseguito e stampa un falso errore "gas" nella console, un processo in background (nascosto in una dipendenza leggermente alterata o in un file test.js offuscato) ha già:

1. Scansionato la tua cartella ~/.config.
2. Trovato i tuoi browser_data (stato locale di Chrome/Brave).
3. Decrittato le tue password salvate e i keystore MetaMask.
4. Caricato il pacchetto su un server remoto.

3. La Variante "Game Tester"

Un'altra variante comune che prende di mira i gamer:

“Stiamo costruendo un gioco Web3 (tipo Axie/Pixels) e abbiamo bisogno di beta tester. Paghiamo 100$ in ETH per 20 minuti di gioco.”

Ti inviano un file .exe o un installer.

La Truffa: Il gioco è reale (spesso un template Unity rubato), ma l'installer rilascia un "Clipper Malware".

• Clipper Malware: Monitora i tuoi appunti. Quando copi un indirizzo wallet per inviare denaro, sostituisce istantaneamente l'indirizzo con quello dell'hacker. Invii fondi all'aggressore senza accorgertene.

4. Come Riconoscere un Falso "Collaboratore"

• Repository "Private": L'aiuto open-source legittimo avviene in Issue pubbliche, non in DM o file ZIP.
• Codice Offuscato: Se vedi un file (come lib/utils.js) che è solo una lunga riga di caratteri casuali (var _0x5a1...), cancella all'istante.
• Pressione per Eseguire: Se dici "Leggerò il codice prima" e si irritano, bloccali.

5. Protocollo di Difesa: Sandbox

Non "aiutare" persone sulla tua macchina principale.

1. Usa Replit / CodeSandbox: Importa la loro repo in un ambiente cloud. Se ha malware, infetta il container cloud, non il tuo PC.
2. Isolamento VM: Come nella guida al Colloquio Contagioso, usa una Macchina Virtuale per qualsiasi codice che non hai scritto tu.
3. Audita gli Script: Leggi sempre gli script del package.json prima di eseguire npm install.

Vedi anche: Attenzione ai tutorial di bot "diventa ricco velocemente" su YouTube — sono spesso la Truffa del Bot MEV sotto mentite spoglie.

Conclusione

Nell'open source, la fiducia si guadagna, non si regala. Il "bot buggato" è il trucco più vecchio del mondo. Se qualcuno vuole aiuto, fagli postare uno snippet di codice o un Gist — non clonare mai la repository di uno sconosciuto.