Ένας προγραμματιστής
blockchain
μοιράζεται τη δοκιμασία του κατά τη διάρκεια των γιορτών, όταν τον προσέγγισε στο LinkedIn ένας “στρατολόγος” για μια δουλειά ανάπτυξης ιστού.
Ο εν λόγω υπεύθυνος προσλήψεων ζήτησε από τον προγραμματιστή να κατεβάσει πακέτα npm από ένα αποθετήριο
GitHub
και ώρες αργότερα ο προγραμματιστής ανακάλυψε ότι το πορτοφόλι του MetaMask είχε αδειάσει.
Η άσκηση εργασίας στο σπίτι αδειάζει το κρυπτογραφικό πορτοφόλι του προγραμματιστή
με έδρα την Αττάλεια
Μουράτ Τσελικτεπέ
ένας προγραμματιστής blockchain και ιστού, μοιράστηκε αυτή την εβδομάδα πώς τον προσέγγισε ένας “στρατολόγος” στο LinkedIn με μια ανάρτηση εργασίας Upwork που φαινόταν νόμιμη.
Ως μέρος της συνέντευξης για δουλειά, ο υπεύθυνος προσλήψεων ζήτησε από τον Çeliktepe να κατεβάσει και να διορθώσει τον κώδικα σε δύο πακέτα npm—”web3_nextjs” και “web3_nextjs_backend” που φιλοξενούνται σε ένα αποθετήριο GitHub. Ωστόσο, λίγες στιγμές αργότερα, ο προγραμματιστής ανακάλυψε ότι το πορτοφόλι του MetaMask είχε εξαντληθεί — με πάνω από 500 $ να αφαιρεθούν από τον λογαριασμό του, με βάση τις πληροφορίες που είδε το BleepingComputer.
Μήνυμα προσλήψεων στον προγραμματιστή στο LinkedIn
(Μουράτ Τσελικτεπέ)
Το Upwork
ανάρτηση εργασίας
ζητά από τον αιτούντα να «διορθώσει σφάλματα και την ανταπόκριση [sic] στον ιστότοπο” και ισχυρίζεται ότι πληρώνει μεταξύ 15 και 20 $ ανά ώρα για μια εργασία που αναμένεται να διαρκέσει λιγότερο από ένα μήνα.
Ανάρτηση εργασίας, όπως εμφανιζόταν τότε στο Upwork
(BleepingComputer)
Ο Çeliktepe, του οποίου η εικόνα προφίλ στο LinkedIn φέρει την ετικέτα “#OpenToWork”, αποφάσισε να δώσει μια ευκαιρία σε αυτήν την πρόκληση και κατέβασε τα αποθετήρια GitHub που κοινοποιήθηκαν από τον υπεύθυνο προσλήψεων, ως μέρος της “συνέντευξης
τεχνολογία
ς”.
Δεν είναι ασυνήθιστο οι νόμιμες συνεντεύξεις τεχνολογίας να περιλαμβάνουν κάποιου είδους άσκηση ή εργασία απόδειξης της ιδέας (PoC) που περιλαμβάνει τη σύνταξη κώδικα ή τον εντοπισμό σφαλμάτων, κάτι που κάνει το δέλεαρ πολύ πειστικό ακόμη και για τεχνικά έμπειρους ανθρώπους, όπως προγραμματιστές.
Ένα από τα έργα npm στο GitHub που ζητήθηκε από τον προγραμματιστή να κατεβάσει
(BleepingComputer)
Σημειώστε ότι οι εφαρμογές που υπάρχουν στα εν λόγω αποθετήρια GitHub [
1
,
2
] είναι έγκυρα έργα npm, δεδομένης της μορφής τους και των περιλαμβανόμενων
πακέτο.json
εκδηλώνεται, αλλά αυτά δεν φαίνεται να έχουν ποτέ δημοσιευθεί στο npmjs.com, το μεγαλύτερο μητρώο ανοιχτού κώδικα έργων JavaScript.
“Το πορτοφόλι μου MetaMask άδειασε τελείως… με το πρόσχημα της διαδικασίας συνέντευξης και της ανάθεσης εργασίας, ολόκληρο το πορτοφόλι μου άδειασε εντελώς με τρόπο που δεν καταλαβαίνω ακόμη πώς ακριβώς.”
έγραψε
Τσελικτεπέ στα τούρκικα στα μέσα κοινωνικής δικτύωσης.
“Θα μοιραστώ τους κωδικούς παρακάτω, θα ήμουν πολύ χαρούμενος αν κάποιος μπορούσε να με βοηθήσει να καταλάβω πώς.”
Σύμφωνα με τις οδηγίες ανάθεσης, ο προγραμματιστής κλωνοποίησε και τα δύο αποθετήρια GitHub και άρχισε να διορθώνει το στιγμιότυπο του για να βρει το πρόβλημα ενώ εκτελούσε τοπικά στον υπολογιστή του και τις εφαρμογές frontend και backend.
Μετά την εργασία, παρακολούθησε μια συνεδρία του
Google Meet
με τον άνδρα που τον είχε πλησιάσει στο LinkedIn και εξήγησε τη λύση — και αυτό ήταν, περίπου έτσι σκέφτηκε ο προγραμματιστής. Μόνο που, λίγες ώρες αργότερα, ο προγραμματιστής παρατήρησε ότι το υπόλοιπο Ethereum του είχε εξαντληθεί.
Μεταξύ των πρόσφατων
συναλλαγές
κοινόχρηστο από τον προγραμματιστή και δει από την BleepingComputer, είναι μια εξερχόμενη τιμή για 0,225 ETH—περίπου 538 $ US εστάλη σε άλλη διεύθυνση κρυπτογράφησης την τελευταία εβδομάδα.
Η διεύθυνση Ethereum του προγραμματιστή εμφανίζει εξερχόμενες συναλλαγές
(BleepingComputer)
Περισσότεροι προγραμματιστές στοχευμένοι στην ίδια απάτη
Παρά την εξέταση του κώδικα που υπάρχει και στα δύο αποθετήρια, ο προγραμματιστής εξακολουθεί να μην είναι σίγουρος για τους ακριβείς μηχανισμούς αυτής της επίθεσης που τον οδήγησαν να χάσει χρήματα και
ζητά βοήθεια από την κοινότητα
για να καταλάβεις το ίδιο.
Η έκκλησή του ακολούθησε γρήγορα, κάτι που φαινόταν να είναι ευκαιριακά crypto bots και λογαριασμοί απάτης, παρακινώντας τον να έρθει σε επαφή με ψεύτικες διευθύνσεις Gmail «υποστήριξης MetaMask» και φόρμες Google.
Ωστόσο, ορισμένα μέλη της κοινότητας που νόμιμα ανησυχούν, εντάχθηκαν για να προσφέρουν τις γνώσεις τους.
Ένας κυνηγός επικηρυγμένων ζωυφίων με έδρα την Κωνσταντινούπολη
υπέθεσε
ότι τα έργα npm που εκτελούνται από τον προγραμματιστή άνοιξαν αποτελεσματικά τα μέσα για τον εισβολέα να αναπτύξει ένα αντίστροφο κέλυφος, ανοίγοντας τη θύρα 5000 στον υπολογιστή του που άρχισε να “ακούει” για συνδέσεις.
Το BleepingComputer επιβεβαίωσε την παρουσία του περιγραφόμενου κώδικα στην εφαρμογή υποστήριξης [
1
,
2
] “web3_nextjs_backend”, αλλά δεν μπορέσαμε να επιβεβαιώσουμε ανεξάρτητα εάν οι εισβολείς απέκτησαν πράγματι πρόσβαση στον υπολογιστή του προγραμματιστή μέσω αυτού του φορέα επίθεσης.
Επιπλέον, ο Τσελικτεπέ λέει
δεν κράτησε ποτέ
το μυστικό “12 λέξεις” ή αυτό που είναι επίσημα γνωστό ως
Φράση Μυστικής Ανάκτησης του MetaMask (SRP)
στον υπολογιστή του και επομένως δεν καταλαβαίνει πώς παραβιάστηκε το πορτοφόλι του MetaMask, ακόμα κι αν οι εισβολείς θα είχαν πρόσβαση στο μηχάνημά του.
BleepingComputer περαιτέρω
παρατήρησε την παρουσία
ενός “κύριο δημόσιο κλειδί” ή ένα
εκτεταμένο δημόσιο κλειδί
στο πακέτο που φαίνεται να βοηθά στη δημιουργία διευθύνσεων
Bitcoin
.
Υπάρχουν επίσης αιτήματα δικτύου στα οποία γίνονται δεδομένα
flickthebean.onrender[.]com
με
πολλά αρχεία
εντός web3_nextjs. Αλλά για άλλη μια φορά, παραμένει ασαφές εάν όλα αυτά αποτελούν μέρος μιας απλής οιονεί άσκησης συνέντευξης για δουλειά ή η επίθεση κρυπτοκλοπής.
Άλλες θεωρίες που προτείνονται από τα μέλη της κοινότητας περιλαμβάνουν, αντί να μολυνθεί το μηχάνημα του προγραμματιστή με κακόβουλο λογισμικό, το παράνομο έργο npm αντέγραψε τους κωδικούς πρόσβασής του
από ένα πρόγραμμα περιήγησης ιστού
που είχε ενεργοποιημένη την αυτόματη συμπλήρωση ή ότι το δικό του
η κυκλοφορία του δικτύου παρεμποδίστηκε
με τον κώδικα που έτρεξε εθελοντικά κατά τη διάρκεια της «συνέντευξης τεχνολογίας».
Όποιος κι αν είναι ο φορέας επίθεσης, ο Τσελικτεπέ δεν είναι ο μόνος που έχει στοχοποιηθεί με αυτόν τον τρόπο, και αυτό επίσης από τον ίδιο «στρατολόγο».
Ένας άλλος προγραμματιστής blockchain και ερευνητής ασφάλειας Bartu Bozkurt λέει ότι είχε
επίσης προσεγγίστηκε
για τη “δουλειά” στο LinkedIn, λίγες μέρες πριν, και το αποκαλεί “πολύ γνωστό είδος hack”.
Ένας άλλος προγραμματιστής, ο Mehmet Selim, επίσης
επιβεβαιώνει
έστειλε μήνυμα από τον ίδιο στρατολόγο που είχε φτάσει στο Τσελικτεπέ.
Ως εκ τούτου, οι προγραμματιστές ιστού και οι ερευνητές ασφάλειας θα πρέπει να προσέχουν για ψεύτικες προσφορές εργασίας σε πλατφόρμες ανάπτυξης καριέρας, καθώς αυτές θα μπορούσαν να είναι απάτες. Είναι καλή ιδέα να ολοκληρώσετε οποιεσδήποτε ασκήσεις εργασίας στο σπίτι — ανεξάρτητα από το πόσο φαινομενικά καλοήθεις, σε ένα (εικονικό) μηχάνημα που είναι ξεχωριστό από την κύρια συσκευή σας.
h/t
@KutluSoz
για την προειδοποίηση.
//platform.twitter.com/widgets.js
VIA:
bleepingcomputer.com
