A Armadilha do Colaborador: Por Que Você Não Deve 'Testar' o Bot do Seu Amigo

Resumo: Engenharia social não é apenas sobre empregos falsos; é sobre amizades falsas. Este artigo investiga o golpe "Me ajude a corrigir esse bug" no Discord/Telegram. Atacantes usam a colaboração para fazer desenvolvedores clonarem repositórios maliciosos.

---

Prompts Midjourney

1. /imagine prompt: A split view of a Discord chat interface. On one side, a friendly anime avatar asking for help. On the other side, a dark web dashboard waiting for a connection, "Social Engineering" --ar 16:9
2. /imagine prompt: A developer typing "git clone" into a terminal, but the text turns into red vipers slithering out of the screen, "Malicious Repository" --ar 16:9
3. /imagine prompt: A frantic "Wallet Drained" notification on a smartphone screen, background is a blurred matrix of code, "The Aftermath" --ar 16:9

---

1. A Abordagem: "Pode me ajudar com esse bug?"

Você está em um canal do Discord de uma biblioteca Web3 popular (como Ethers.js ou Hardhat). Um usuário te envia DM ou posta no chat geral:

“Ei Dev, estou construindo um bot de arbitragem, mas estou recebendo esse erro estranho de gás na Sepolia. Pode dar uma olhada? Estou travado.”

Eles não pedem dinheiro. Eles não pedem sua frase semente. Eles apelam para sua curiosidade e sua vontade de ajudar.

Eles enviam um link do GitHub. Parece um projeto Hardhat padrão.

2. A Carga: O Script de "Teste"

Você clona o repo. Verifica a pasta contracts/. O Solidity parece bem — talvez um pouco bagunçado, mas seguro.

O golpista diz: "Tente rodar o script de teste, é lá que o erro aparece."

Você digita:

npm install

npx hardhat test

Fim de jogo.

Enquanto o teste roda e imprime um erro falso de "gás" no console, um processo em segundo plano (escondido em uma dependência levemente alterada ou em um arquivo test.js ofuscado) já:

1. Escaneou sua pasta ~/.config.
2. Encontrou seus browser_data (estado local do Chrome/Brave).
3. Descriptografou suas senhas salvas e keystores do MetaMask.
4. Carregou o pacote para um servidor remoto.

3. A Variação "Game Tester"

Outra variação comum visando gamers:

“Estamos construindo um jogo Web3 (como Axie/Pixels) e precisamos de testadores beta. Pagamos $100 em ETH por 20 minutos de jogo.”

Eles te enviam um arquivo .exe ou um instalador.

O Golpe: O jogo é real (frequentemente um template Unity roubado), mas o instalador solta um "Clipper Malware".

• Clipper Malware: Monitora sua área de transferência. Quando você copia um endereço de carteira para enviar dinheiro, ele substitui instantaneamente pelo endereço do hacker. Você envia fundos para o atacante sem perceber.

4. Como Identificar um "Colaborador" Falso

• Repositórios "Privados": Ajuda open-source legítima acontece em Issues públicas, não em DMs ou arquivos ZIP.
• Código Ofuscado: Se você vir um arquivo (como lib/utils.js) que é apenas uma longa linha de caracteres aleatórios (var _0x5a1...), apague instantaneamente.
• Pressão para Executar: Se você disser "Vou ler o código primeiro" e eles ficarem irritados, bloqueie-os.

5. Protocolo de Defesa: Sandbox

Não "ajude" pessoas na sua máquina principal.

1. Use Replit / CodeSandbox: Importe o repo deles para um ambiente de nuvem. Se tiver malware, infecta o container da nuvem, não seu PC.
2. Isolamento VM: Como no guia da Entrevista Contagiosa, use uma Máquina Virtual para qualquer código que você não escreveu.
3. Audite Scripts: Sempre leia os scripts do package.json antes de rodar npm install.

Veja também: Cuidado com tutoriais de bots "fique rico rápido" no YouTube — eles são frequentemente o Golpe Bot MEV disfarçado.

Conclusão

No código aberto, confiança é conquistada, não dada. O "bot bugado" é o truque mais velho do livro. Se alguém quer ajuda, faça-os postar um snippet de código ou um Gist — nunca clone o repositório de um estranho.