„Blockchain“ kūrėjas Muratas Çeliktepe papasakojo apie liūdną incidentą, papasakodamas apie atostogų patirtį, kai asmuo, apsimetęs „verbuotoju“, prarado 500 USD iš jo „MetaMask“ piniginės.
Pažymėtina, kad iš pradžių su „Çeliktepe“ buvo susisiekta „LinkedIn“ apsimetant, kad yra tikra darbo galimybė žiniatinklio kūrimui.
Kūrėjas patenka į kodavimo darbo sukčiavimą
Per tariamą darbo pokalbį įdarbintojas nurodė „Çeliktepe“ atsisiųsti ir derinti kodą iš dviejų „npm“ paketų, būtent „web3_nextjs“ ir „web3_nextjs_backend“, kurie abu yra „GitHub“ saugykloje.
Deja, netrukus po to, kai įvykdė instrukcijas, kūrėjas sužinojo, kad jo „MetaMask“ piniginė buvo išeikvota ir viršijo 500 USD apgaule iš jo sąskaitos.
„Upwork“ darbo vietų sąraše kandidatai prašomi „ištaisyti klaidas ir reagavimą [sic] svetainėje“ ir siūlyti valandinį atlyginimą nuo 15 USD iki 20 USD už užduotį, kurią numatoma atlikti greičiau nei per mėnesį.
Susidomėjęs galimybe, Çeliktepe, kuris savo LinkedIn profilio nuotraukoje aiškiai rodo žymą „#OpenToWork“, nusprendė priimti iššūkį. Jis atsisiuntė „GitHub“ saugyklas, kurias įdarbintojas pateikė kaip „techninio interviu“ dalį.
Dalyvavimas techniniuose pokalbiuose dažnai apima pratimus namuose arba koncepcijos įrodymo (PoC) užduotis, įskaitant tokias užduotis kaip kodo rašymas ar derinimas. Dėl to pasiūlymas yra ypač įtikinamas net ir techninių žinių turintiems asmenims, pavyzdžiui, kūrėjams.
Verta paminėti, kad programos, rastos minėtose „GitHub“ saugyklose [1, 2], yra galiojantys npm projektai, kaip rodo jų formatas ir paketo.json manifestas. Tačiau panašu, kad šie projektai nebuvo paskelbti npmjs.com – didžiausiame atvirojo kodo „JavaScript“ projektų registre.
Bendruomenė imasi veiksmų, kad išaiškintų atakos paslaptį
Pasidalijęs savo nelaiminga patirtimi socialinėje žiniasklaidoje, Çeliktepe kreipėsi į bendruomenę, prašydamas padėti suprasti išpuolio mechanizmą. Nepaisant to, kad išnagrinėjo kodą „GitHub“ saugyklose, jis vis dar nėra tikras dėl metodo, kuriuo buvo pažeista jo „MetaMask“ piniginė, nes savo kompiuteryje neišsaugojo piniginės atkūrimo frazės.
Reaguodama į Çeliktepe pagalbos prašymą, bendruomenė susibūrė su nuoširdžiu palaikymu ir oportunistiniais šifravimo robotais, siūlančiais pagalbą. Deja, atsirado ir sukčių paskyrų, kurios priviliojo jį prisijungti prie apgaulingų „MetaMask palaikymo“ Gmail adresų ir „Google“ formų.
Bendruomenės įžvalgos rodo, kad „Çeliktepe“ vykdomi npm projektai galėjo leisti užpuolikui įdiegti atvirkštinį apvalkalą, galintį atskleisti kūrėjo įrenginio pažeidžiamumą.
Kitos bendruomenės narių siūlomos teorijos apima galimybę, kad užuot užkrėtęs kūrėjo kompiuterį kenkėjiška programa, neteisėtas npm projektas galėjo nukopijuoti slaptažodžius iš žiniatinklio naršyklės, kurioje įjungtas automatinis pildymas.
Be to, kai kurie spėlioja, kad per „techninį pokalbį“ savanoriškai paleistas kodas galėjo perimti jo tinklo srautą, prisidėdamas prie saugumo pažeidimo.
„Binance Free“ 100 USD (išskirtinis): naudokite šią nuorodą, kad užsiregistruotumėte ir gautumėte 100 USD nemokamai bei 10% nuolaidą „Binance Futures“ pirmajam mėnesiui (sąlygos).
Šaltinis: https://cryptopotato.com/blockchain-developers-metamask-wallet-emptied-in-deceptive-job-interview/