협력자 함정: 친구의 봇을 '테스트'하면 안 되는 이유

요약: 사회 공학은 가짜 직업에 관한 것만이 아닙니다; 가짜 우정에 관한 것입니다. 이 기사는 디스코드/텔레그램의 "버그 수정 좀 도와줘" 사기를 조사합니다. 공격자들은 협력을 사용하여 개발자들이 악성 저장소를 복제하도록 유도합니다.

---

---

1. 접근: "이 버그 좀 도와줄 수 있어?"

당신은 인기 있는 Web3 라이브러리(Ethers.js나 Hardhat 등)의 디스코드 채널에 있습니다. 사용자가 DM이나 일반 채팅으로 메시지를 보냅니다:

“안녕, 개발자님. 차익 거래 봇을 만들고 있는데 Sepolia에서 이상한 가스 오류가 나네요. 좀 봐주실 수 있나요? 막혔어요.”

그들은 돈을 요구하지 않습니다. 시드 구문을 묻지 않습니다. 그들은 당신의 호기심과 돕고 싶은 마음에 호소합니다.

GitHub 링크를 보냅니다. 표준 Hardhat 프로젝트처럼 보입니다.

2. 페이로드: "테스트" 스크립트

저장소를 복제(clone)합니다. contracts/ 폴더를 확인합니다. 솔리디티는 괜찮아 보입니다 — 약간 지저분할 수 있지만 안전해 보입니다.

사기꾼이 말합니다: "테스트 스크립트를 실행해 보세요, 오류가 거기서 뜹니다."

당신은 입력합니다:

npm install

npx hardhat test

게임 끝.

테스트가 실행되고 콘솔에 가짜 "가스" 오류를 출력하는 동안, 백그라운드 프로세스(약간 수정된 종속성이나 난독화된 test.js 파일에 숨겨진)는 이미:

1. ~/.config 폴더를 스캔했습니다.
2. browser_data (로컬 Chrome/Brave 상태)를 찾았습니다.
3. 저장된 비밀번호와 MetaMask 저장소를 복호화했습니다.
4. 패키지를 원격 서버로 업로드했습니다.

3. "게임 테스터" 변형

게이머를 노리는 또 다른 흔한 변형:

“Web3 게임(Axie/Pixels 같은)을 만들고 있는데 베타 테스터가 필요해요. 20분 플레이에 $100 ETH 드려요.”

그들은 .exe 파일이나 설치 프로그램을 보냅니다.

사기: 게임은 진짜지만(종종 훔친 Unity 템플릿), 설치 프로그램은 "클리퍼 맬웨어" (Clipper Malware)를 심습니다.

• 클리퍼: 클립보드를 모니터링합니다. 돈을 보내려고 지갑 주소를 복사하면, 즉시 해커의 주소로 바꿔치기합니다. 당신은 눈치채지 못한 채 공격자에게 자금을 보냅니다.

4. 가짜 "협력자" 식별법

• "비공개" 저장소: 합법적인 오픈 소스 도움은 공개 Issues에서 이루어지지, DM이나 ZIP 파일로 이루어지지 않습니다.
• 난독화된 코드: 파일(예: lib/utils.js)이 임의의 문자(var _0x5a1...)의 긴 한 줄로 구성되어 있다면, 즉시 삭제하세요.
• 실행 압박: "코드를 먼저 읽어볼게요"라고 말했을 때 짜증을 낸다면 — 차단하세요.

5. 방어 프로토콜: 샌드박스

메인 머신에서 사람들을 "도와주지" 마세요.

1. Replit / CodeSandbox 사용: 저장소를 클라우드 환경으로 가져오세요. 맬웨어가 있다면 당신의 PC가 아니라 클라우드 컨테이너를 감염시킵니다.
2. VM 격리: 전염성 인터뷰 가이드처럼, 당신이 작성하지 않은 코드는 가상 머신을 사용하세요.
3. 스크립트 감사: npm install을 실행하기 전에 항상 package.json의 스크립트를 읽으세요.

참고: 유튜브의 "빨리 부자 되기" 튜토리얼을 조심하세요 — 종종 위장된 MEV 봇 사기입니다.

결론

오픈 소스에서 신뢰는 얻는 것이지 주어지는 것이 아닙니다. "버그 있는 봇"은 책에 나오는 가장 오래된 속임수입니다. 누군가 도움을 원한다면 코드 스니펫이나 Gist를 게시하게 하세요 — 낯선 사람의 저장소를 절대 복제하지 마세요.