Разработчик блокчейна Мурат Челиктепе поделился печальным инцидентом, рассказывая об отпуске, в результате которого из его кошелька MetaMask был потерян 500 долларов США человеку, выдававшему себя за «рекрутера».
Примечательно, что изначально с Челиктепе связались через LinkedIn под предлогом реальной вакансии в области веб-разработки.
Разработчик стал жертвой мошенничества с работой по программированию
Во время предполагаемого собеседования рекрутер поручил Челиктепе загрузить и отладить код из двух пакетов npm, а именно «web3_nextjs» и «web3_nextjs_backend», оба из которых размещены в репозитории GitHub.
К сожалению, вскоре после выполнения инструкций разработчик обнаружил, что его кошелек MetaMask исчерпан, и с его счета обманным путем было снято более 500 долларов США.
В списке вакансий Upwork соискателям предлагается «исправить ошибки и повысить скорость реагирования [так в оригинале] на веб-сайте» и утверждается, что предлагается почасовая оплата от 15 до 20 долларов за задачу, которая, как ожидается, будет выполнена менее чем за месяц.
Заинтригованный этой возможностью, Челиктепе, который заметно отображает тег «OpenToWork» на своей аватарке в LinkedIn, решил принять вызов. Он скачал репозитории GitHub, которые рекрутер предоставил в рамках «технического собеседования».
Участие в технических собеседованиях часто включает в себя домашние упражнения или задания для проверки концепции (PoC), включая такие задачи, как написание кода или отладка. Это делает предложение особенно убедительным даже для людей с техническими знаниями, например разработчиков.
Стоит отметить, что приложения, найденные в упомянутых репозиториях GitHub [1, 2], являются валидными npm-проектами, о чем свидетельствует их формат и наличие манифеста package.json. Однако эти проекты, похоже, не были опубликованы на npmjs.com, крупнейшем реестре проектов JavaScript с открытым исходным кодом.
Сообщество пытается разгадать тайну атаки
Поделившись своим неудачным опытом в социальных сетях, Челиктепе обратился к сообществу за помощью в понимании механики атаки. Несмотря на тщательное изучение кода в репозиториях GitHub, он по-прежнему не уверен в методе, использованном для взлома его кошелька MetaMask, поскольку он не сохранил фразу восстановления кошелька на своем компьютере.
В ответ на призыв Челиктепе о помощи сообщество сплотилось с искренней поддержкой и оппортунистическими криптоботами, предложившими помощь. К сожалению, также появились мошеннические аккаунты, соблазняющие его подключиться к мошенническим адресам Gmail и формам Google «поддержки MetaMask».
По данным сообщества, проекты npm, реализованные Челиктепе, могли позволить злоумышленнику развернуть обратную оболочку, что потенциально выявило уязвимости на машине разработчика.
Другие теории, предложенные членами сообщества, включают возможность того, что вместо заражения компьютера разработчика вредоносным ПО незаконный проект npm мог скопировать пароли из веб-браузера с включенным автозаполнением.
Кроме того, некоторые предполагают, что код, добровольно запущенный во время «технического интервью», мог перехватить его сетевой трафик, способствуя нарушению безопасности.
Источник