コラボレーターの罠：なぜ友人のボットを「テスト」してはならないのか

要約：ソーシャルエンジニアリングは偽の仕事だけではない。偽の友情もある。この記事では、DiscordやTelegramでの「バグ修正を手伝って」詐欺を調査する。攻撃者はコラボレーションを利用して、開発者に悪意のあるリポジトリをクローンさせる。

---

---

1. アプローチ：「このバグ、手伝ってくれない？」

あなたは人気のWeb3ライブラリ（Ethers.jsやHardhatなど）のDiscordチャンネルにいる。ユーザーからDMが来るか、一般チャンネルに投稿がある：

「ねえDev、裁定取引ボットを作ってるんだけど、Sepoliaで変なガスエラーが出るんだ。ちょっと見てくれない？ 行き詰まっちゃって。」

彼らはお金を求めない。彼らはシードフレーズを求めない。彼らはあなたの 好奇心 と 助けたいという気持ち を利用する。

彼らはGitHubのリンクを送る。標準的なHardhatプロジェクトのように見える。

2. ペイロード：「テスト」スクリプト

あなたはリポジトリをクローンする。contracts/ フォルダを確認する。Solidityコードは大丈夫そうだ——少し汚いかもしれないが、安全だ。

詐欺師は言う： 「テストスクリプトを実行してみて、エラーが表示されるから。」

あなたはタイプする：

npm install

npx hardhat test

ゲームオーバー。

テストが実行され、コンソールに偽の「ガスエラー」が表示されている間に、バックグラウンドプロセス（わずかに変更された依存関係、または難読化された test.js ファイルに隠されている）はすでに：

1. ~/.config フォルダをスキャンした。
2. browser_data（Chrome/Braveのローカル状態）を見つけた。
3. 保存されたパスワードとMetaMaskのキーストアを復号化した。
4. バンドルされたパッケージをリモートサーバーにアップロードした。

3. 「ゲームテスター」のバリエーション

ゲーマーをターゲットにした別の一般的なバリエーション：

「Web3ゲーム（Axie/Pixelsのような）を作っていて、ベータテスターが必要なんだ。20分プレイするだけで100ドル相当のETHを払うよ。」

彼らは .exe ファイルやインストーラーを送ってくる。

詐欺： ゲームは本物（多くの場合、盗まれたUnityテンプレート）だが、インストーラーは「クリッパー・マルウェア」をドロップする。

• クリッパー・マルウェア： クリップボードを監視する。送金のためにウォレットアドレスをコピーすると、即座にアドレスをハッカーのものに置き換える。あなたは気づかずに攻撃者に送金してしまう。

4. 「コラボレーター」の見分け方

• 「プライベート」リポジトリ： 正当なオープンソースの支援は、DMやZIPファイルではなく、パブリックなIssueで行われる。
• 難読化されたコード： もし（lib/utils.jsのような）ファイルがランダムな文字の長い一行（var _0x5a1...）になっているのを見たら、即座に削除せよ。
• 実行への圧力： 「まずコードを読むよ」と言って相手がいら立ったら、ブロックせよ。

5. 防衛プロトコル：サンドボックス

メインのマシンで他人を「助け」てはいけない。

1. Replit / CodeSandboxを使う： 彼らのリポジトリをクラウド環境にインポートする。マルウェアが含まれていても、感染するのはクラウドコンテナであり、あなたのPCではない。
2. VM分離： 伝染する面接 ガイドで述べたように、自分が書いていないコードには仮想マシンを使用する。
3. スクリプトの監査： npm install を実行する前に、必ず package.json のスクリプトを読む。

参照： YouTubeの「手っ取り早く金持ちになる」ボットのチュートリアルに注意。MEVボット詐欺 が変装している場合が多い。

結論

オープンソースにおいて、信頼は勝ち取るものであり、与えるものではない。「バグったボット」は最も古典的な手口だ。もし誰かが助けを求めているなら、コードスニペットやGistを投稿させるべきだ——見知らぬ人のリポジトリを決してクローンしてはいけない。