یکی از توسعه دهندگان بلاک چین، مورات چلیک تپه، یک حادثه ناراحت کننده را به اشتراک گذاشته است که در آن یک تجربه تعطیلات را بازگو می کند که منجر به از دست دادن 500 دلار از کیف پول MetaMask خود به فردی شد که خود را به عنوان یک «استخدام کننده» معرفی می کرد.
قابل ذکر است که در ابتدا با چلیک تپ در لینکدین به بهانه یک فرصت شغلی توسعه وب واقعی تماس گرفته شد.
توسعهدهنده قربانی کلاهبرداری شغلی کدنویسی میشود
در طول مصاحبه شغلی ادعا شده، استخدامکننده به Cheliktepe دستور داد تا کد را از دو بسته npm، یعنی «web3_nextjs» و «web3_nextjs_backend» دانلود و اشکالزدایی کند، که هر دو در یک مخزن GitHub میزبانی میشوند.
متأسفانه، مدت کوتاهی پس از پیروی از دستورالعملها، توسعهدهنده متوجه شد که کیف پول MetaMask او تمام شده و بیش از 500 دلار است. کلاهبرداری از حسابش برداشته شد
فهرست مشاغل Upwork از متقاضیان درخواست می کند تا "اشکالات و پاسخگویی [sic] را در وب سایت رفع کنند" و ادعا می کند که برای کاری که انتظار می رود در کمتر از یک ماه تکمیل شود، پرداخت ساعتی بین 15 تا 20 دلار ارائه می دهد.
چلیک تپه که از این فرصت مجذوب شده بود، که به طور برجسته یک تگ "#OpenToWork" را در عکس پروفایل لینکدین خود نشان می دهد، تصمیم گرفت این چالش را انجام دهد. او مخازن GitHub را که استخدام کننده به عنوان بخشی از "مصاحبه فناوری" ارائه کرده بود، دانلود کرد.
شرکت در مصاحبههای فنی اغلب شامل تمرینهایی در خانه یا تکالیف اثبات مفهوم (PoC) از جمله کارهایی مانند نوشتن کد یا اشکالزدایی است. این باعث میشود که این پیشنهاد حتی برای افراد دارای تخصص فنی، مانند توسعهدهندگان، قانعکننده باشد.
شایان ذکر است که برنامه های موجود در مخازن GitHub ذکر شده [1، 2] پروژه های معتبر npm هستند، همانطور که فرمت آنها و وجود مانیفست package.json نشان می دهد. با این حال، به نظر نمی رسد این پروژه ها در npmjs.com، بزرگترین رجیستری منبع باز برای پروژه های جاوا اسکریپت منتشر شده باشند.
جامعه برای کشف رمز و راز Attack قدم بر می دارد
چلیک تپه پس از به اشتراک گذاشتن تجربه تاسف بار خود در رسانه های اجتماعی، برای کمک به درک مکانیسم حمله به جامعه مراجعه کرد. با وجود بررسی دقیق کد در مخازن GitHub، او هنوز در مورد روش مورد استفاده برای نقض اطلاعات نامطمئن است. کیف پول MetaMask زیرا او عبارت بازیابی کیف پول خود را در دستگاه خود ذخیره نکرده است.
در پاسخ به درخواست کمک چلیک تپه، جامعه با پشتیبانی واقعی و فرصتطلبانه رباتهای رمزنگاری که کمک میکردند، گرد هم آمدند. متأسفانه، حسابهای کلاهبرداری نیز ظاهر شد و او را ترغیب کرد تا با آدرسهای جیمیل و فرمهای گوگل جعلی «پشتیبانی MetaMask» ارتباط برقرار کند.
بینشهای جامعه نشان میدهد که پروژههای npm اجرا شده توسط چلیک تپه ممکن است به مهاجم اجازه دهد پوسته معکوس را مستقر کند، که به طور بالقوه افشا میشود. آسیب پذیری روی ماشین توسعه دهنده
سایر تئوریهای پیشنهاد شده توسط اعضای انجمن عبارتند از این احتمال که به جای آلوده کردن دستگاه توسعهدهنده به بدافزار، پروژه غیرقانونی npm ممکن است رمزهای عبور را از یک مرورگر وب با فعال کردن پر کردن خودکار کپی کرده باشد.
علاوه بر این، برخی گمان میکنند که کد بهطور داوطلبانه در طول «مصاحبه فناوری» اجرا میشود، ممکن است ترافیک شبکه او را رهگیری کرده باشد و به نقض امنیتی کمک کند.
100 دلار رایگان بایننس (انحصاری): از این لینک استفاده کنید برای ثبت نام و دریافت 100 دلار هزینه رایگان و 10 درصد تخفیف در ماه اول Binance Futures (قوانین و مقررات).
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://cryptopotato.com/blockchain-developers-metamask-wallet-emptied-in-deceptive-job-interview/
- : دارد
- :نه
- $UP
- 1
- a
- درباره ما
- حساب
- حساب ها
- آدرس
- پس از
- AI
- مجاز
- همچنین
- an
- و
- متقاضیان
- برنامه های کاربردی
- هستند
- AS
- کمک
- حمله
- زمینه
- پرچم
- BE
- بوده
- میان
- بنیان
- آینده Binance
- بلاکچین
- توسعه دهنده Blockchain
- مرز
- هر دو
- رباتها
- شکاف
- مرورگر
- اشکالات
- by
- به چالش
- ادعای
- رمز
- برنامه نویسی
- رنگ
- COM
- انجمن
- تکمیل شده
- اتصال
- محتوا
- کمک
- عضو سازمانهای سری ومخفی
- مصمم
- گسترش
- با وجود
- توسعه دهنده
- توسعه دهندگان
- پروژه
- DID
- کشف
- صفحه نمایش
- do
- دانلود
- در طی
- ظهور
- فعال
- پایان
- لذت بردن
- فریبنده
- حتی
- گواهی شده است
- بیش از
- انحصاری
- اجرا شده
- انتظار می رود
- تجربه
- تخصص
- آبشار
- هزینه
- نام خانوادگی
- برای
- قالب
- اشکال
- یافت
- جعلی
- رایگان
- از جانب
- آینده
- واقعی
- GitHub
- گوگل
- بود
- آیا
- he
- کمک
- او را
- خود را
- روز تعطیل
- میزبانی
- اما
- HTTPS
- قاچاق
- in
- حادثه
- شامل
- از جمله
- فرد
- افراد
- در ابتدا
- در عوض
- دستورالعمل
- داخلی
- مصاحبه
- مصاحبه
- جاوا اسکریپت
- کار
- لیست کار
- JPG
- json
- بزرگترین
- کمتر
- پسندیدن
- لینک
- نمایه LinkedIn
- فهرست
- خاموش
- دستگاه
- باعث می شود
- نرم افزارهای مخرب
- حاشیه
- مکانیک
- رسانه ها
- اعضا
- ذکر شده
- MetaMask
- روش
- قدرت
- ماه
- از جمله
- شبکه
- ترافیک شبکه
- هیچ
- یادداشت برداری
- of
- خاموش
- ارائه
- ارائه
- غالبا
- on
- منبع باز
- فرصت
- or
- خارج
- بسته
- بسته
- بخش
- ویژه
- کلمه عبور
- پرداخت
- تصویر
- افلاطون
- هوش داده افلاطون
- PlatoData
- دادخواست
- پوک
- امکان
- بالقوه
- حضور
- شکار
- مشخصات
- پروژه
- پروژه ها
- پیشنهاد شده
- ارائه
- منتشر شده
- رسیده
- مطالعه
- گرفتن
- بهبود
- ثبت نام
- رجیستری
- بقایای
- مخزن
- درخواست
- پاسخ
- معکوس
- دویدن
- کلاهبرداری
- تیم امنیت لاتاری
- به نظر می رسد
- اشتراک گذاری
- به اشتراک گذاشته شده
- اشتراک
- صدف
- به زودی
- آگاهی
- رسانه های اجتماعی
- جامد
- برخی از
- حمایت مالی
- مراحل
- opbevare
- چنین
- نشان می دهد
- پشتیبانی
- TAG
- گرفتن
- کار
- وظایف
- فنی
- نسبت به
- که
- La
- شان
- اینها
- این
- به
- ترافیک
- دو
- مردد
- زیر
- درک
- مایه تاسف
- متاسفانه
- باز کردن
- استفاده
- معتبر
- به طور داوطلبانه
- کیف پول
- بود
- وب
- مرورگر وب
- توسعه وب
- WHO
- با
- در داخل
- با ارزش
- نوشته
- شما
- زفیرنت