Ловушка Коллаборатора: Почему не стоит 'тестировать' бота друга

Краткое содержание: Социальная инженерия — это не только про фейковые работы; это про фейковую дружбу. Эта статья расследует скам "Помоги пофиксить баг" в Discord/Telegram. Атакующие используют сотрудничество, чтобы заставить разработчиков клонировать вредоносные репозитории.

---

1. Подход: "Не поможешь с этим багом?"

Вы в Discord канале популярной Web3 библиотеки (типа Ethers.js или Hardhat). Пользователь пишет вам в ЛС или в общем чате:

“Привет, Дев, я строю арбитражного бота, но получаю странную ошибку газа в Sepolia. Можешь глянуть? Я застрял.”

Они не просят денег. Они не просят сид-фразу. Они взывают к вашему любопытству и желанию помочь.

Они присылают ссылку на GitHub. Выглядит как стандартный Hardhat проект.

2. Пейлоад: Скрипт "Теста"

Вы клонируете репо. Проверяете папку contracts/. Solidity выглядит нормально — может немного грязный, но безопасный.

Мошенник говорит: "Попробуй запустить тестовый скрипт, ошибка там вылезает."

Вы печатаете:

npm install

npx hardhat test

Конец игры.

Пока тест бежит и печатает фейковую ошибку "газа" в консоль, фоновый процесс (спрятанный в слегка измененной зависимости или обфусцированном файле test.js) уже:

1. Просканировал папку ~/.config.
2. Нашел browser_data (локальное состояние Chrome/Brave).
3. Расшифровал сохраненные пароли и хранилища MetaMask.
4. Загрузил пакет на удаленный сервер.

3. Вариация "Тестировщик Игр"

Другая частая вариация, нацеленная на геймеров:

“Мы делаем Web3 игру (типа Axie/Pixels) и нам нужны бета-тестеры. Платим $100 в ETH за 20 минут игры.”

Они присылают .exe файл или инсталлер.

Скам: Игра настоящая (часто украденный Unity шаблон), но инсталлер сбрасывает "Клиппер Малварь" (Clipper Malware).

• Клиппер: Мониторит ваш буфер обмена. Когда вы копируете адрес кошелька, чтобы отправить деньги, он мгновенно подменяет его на адрес хакера. Вы отправляете средства атакующему, не замечая этого.

4. Как опознать Фейкового "Коллаборатора"

• "Приватные" репозитории: Легитимная open-source помощь происходит в публичных Issues, а не в ЛС или ZIP файлах.
• Обфусцированный код: Если видите файл (типа lib/utils.js), который состоит из одной длинной строки случайных символов (var _0x5a1...), удаляйте немедленно.
• Давление запустить: Если вы говорите "Я сначала почитаю код", а они раздражаются — блокируйте их.

5. Протокол Защиты: Песочница

Не "помогайте" людям на своей основной машине.

1. Используйте Replit / CodeSandbox: Импортируйте их репо в облачную среду. Если там малварь, она заразит облачный контейнер, а не ваш ПК.
2. Изоляция VM: Как в гайде по Заразному собеседованию, используйте Виртуальную Машину для любого кода, который писали не вы.
3. Аудит Скриптов: Всегда читайте скрипты в package.json перед запуском npm install.

См. также: Остерегайтесь туториалов "разбогатей быстро" на YouTube — часто это замаскированный MEV Бот Скам.

Заключение

В опенсорсе доверие нужно заслужить, а не дарить. "Багованный бот" — это старейший трюк в книге. Если кто-то хочет помощи, пусть постит сниппет кода или Gist — никогда не клонируйте репозиторий незнакомца.