מפתח בלוקצ'יין, Murat Çeliktepe, שיתף תקרית מציקה שסיפרה על חווית חג שהביאה לאובדן של 500 $ מארנק MetaMask שלו לאדם שמתחזה ל"מגייס".
יש לציין כי בתחילה נוצר קשר עם Çeliktepe ב-LinkedIn תחת יומרה של הזדמנות עבודה אמיתית לפיתוח אתרים.
מפתח נופל טרף להונאת עבודות קידוד
במהלך ראיון העבודה לכאורה, המגייס הורה ל-Çeliktepe להוריד ולנקות באגים בקוד משתי חבילות npm, כלומר "web3_nextjs" ו-"web3_nextjs_backend", שניהם מתארחים במאגר GitHub.
למרבה הצער, זמן קצר לאחר ציות להוראות, המפתח גילה כי ארנק MetaMask שלו התרוקן, עלה על $500 במרמה נמשך מחשבונו.
רשימת המשרות של Upwork מבקשת מהמועמדים "לתקן באגים ותגובתיות [sic] באתר" וטוענת להציע תשלום שעתי בין $15 ל-$20 עבור משימה שצפויה להסתיים תוך פחות מחודש.
סיקרן מההזדמנות, Çeliktepe, שמציג באופן בולט תג "#OpenToWork" בתמונת הפרופיל שלו בלינקדאין, החליט לקחת על עצמו את האתגר. הוא הוריד את מאגרי GitHub שהמגייס סיפק כחלק מ"הראיון הטכנולוגי".
עיסוק בראיונות טכניים כרוך לעתים קרובות בתרגילים לקחת הביתה או מטלות הוכחת קונספט (PoC), כולל משימות כמו כתיבת קוד או איתור באגים. זה הופך את ההצעה למשכנעת במיוחד, אפילו עבור אנשים עם מומחיות טכנית, כמו מפתחים.
ראוי לציין שהיישומים שנמצאו במאגרי GitHub שהוזכרו [1, 2] הם פרויקטי npm חוקיים, כפי שמעידים על ידי הפורמט שלהם והנוכחות של המניפסט package.json. עם זאת, נראה שפרויקטים אלה לא פורסמו ב-npmjs.com, הרישום הגדול ביותר בקוד פתוח לפרויקטי JavaScript.
הקהילה מתקדמת כדי לפענח את המסתורין של המתקפה
לאחר ששיתף את החוויה המצערת שלו ברשתות החברתיות, צ'ליקטפה פנה לקהילה כדי לקבל סיוע בהבנת המכניקה של המתקפה. למרות בחינת הקוד במאגרי GitHub, הוא עדיין לא בטוח לגבי השיטה המשמשת להפרת ארנק MetaMask מכיוון שהוא לא אחסן את ביטוי שחזור הארנק שלו במחשב שלו.
בתגובה לתחינה של צ'ליקטפה לעזרה, הקהילה התגייסה עם תמיכה אמיתית ובוטי קריפטו אופורטוניסטיים שהציעו סיוע. לרוע המזל, צצו גם חשבונות הונאה, שפתו אותו להתחבר לכתובות Gmail וטפסים של גוגל הונאה.
תובנות מהקהילה מצביעות על כך שפרויקטי npm שבוצעו על ידי Çeliktepe עשויים לאפשר לתוקף לפרוס מעטפת הפוכה, מה שעלול לחשוף פגיעויות במחשב של המפתח.
תיאוריות אחרות שהוצעו על ידי חברי הקהילה כוללות את האפשרות שבמקום להדביק את המחשב של המפתח בתוכנות זדוניות, ייתכן שפרויקט npm הלא חוקי העתיק סיסמאות מדפדפן אינטרנט עם מילוי אוטומטי מופעל.
בנוסף, יש המשערים שהקוד המופעל מרצון במהלך "הראיון הטכני" עשוי ליירט את תעבורת הרשת שלו, ותרם לפרצת האבטחה.
Binance חינם $100 (בלעדי): השתמש בקישור זה להירשם ולקבל 100$ בחינם ו-10% הנחה על עמלות על Binance Futures בחודש הראשון (מונחים).
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://cryptopotato.com/blockchain-developers-metamask-wallet-emptied-in-deceptive-job-interview/
- :יש ל
- :לֹא
- $ למעלה
- 1
- a
- אודות
- חֶשְׁבּוֹן
- חשבונות
- כתובות
- לאחר
- AI
- מותר
- גם
- an
- ו
- מועמדים
- יישומים
- ARE
- AS
- סיוע
- לתקוף
- רקע
- באנר
- BE
- היה
- בֵּין
- binance
- עתיד בינאנס
- blockchain
- מפתחים
- גבול
- שניהם
- בוטים
- הפרה
- דפדפן
- באגים
- by
- לאתגר
- טענות
- קוד
- סִמוּל
- צֶבַע
- COM
- קהילה
- השלמת
- לְחַבֵּר
- תוכן
- תורם
- קריפטו
- החליט
- לפרוס
- למרות
- מפתח
- מפתחים
- צעצועי התפתחות
- DID
- גילה
- מציג
- do
- להורדה
- בְּמַהֲלָך
- יצא
- מופעל
- סוף
- להנות
- מפתה
- אֲפִילוּ
- עדות
- העולה
- בלעדי
- יצא לפועל
- צפוי
- ניסיון
- מומחיות
- פולס
- אגרות
- ראשון
- בעד
- פוּרמָט
- צורות
- מצא
- רמאי
- חופשי
- החל מ-
- עתידים
- אמיתי
- GitHub
- היה
- יש
- he
- לעזור
- לו
- שֶׁלוֹ
- חַג
- אירח
- אולם
- HTTPS
- לֹא חוּקִי
- in
- תקרית
- לכלול
- כולל
- בנפרד
- אנשים
- בהתחלה
- במקום
- הוראות
- פנימי
- ראיון אישי
- ראיונות
- JavaScript
- עבודה
- רישום עבודה
- jpg
- ג'סון
- הגדול ביותר
- פחות
- כמו
- לינקדין
- פרופיל LinkedIn
- רישום
- את
- מכונה
- עושה
- תוכנות זדוניות
- שולים
- מכניקה
- מדיה
- להרשם/להתחבר
- מוּזְכָּר
- מטאמאסק
- שיטה
- יכול
- חוֹדֶשׁ
- כלומר
- רשת
- תנועת רשת
- ללא חתימה
- וציין
- of
- כבוי
- הַצָעָה
- הצעה
- לעתים קרובות
- on
- קוד פתוח
- הזדמנות
- or
- הַחוּצָה
- חבילה
- חבילות
- חלק
- במיוחד
- סיסמאות
- תשלום
- תמונה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- עתירה
- PoC
- אפשרות
- פוטנציאל
- נוכחות
- טֶרֶף
- פּרוֹפִיל
- פּרוֹיֶקט
- פרויקטים
- מוּצָע
- ובלבד
- לאור
- הגיע
- קריאה
- לקבל
- התאוששות
- הירשם
- רישום
- שְׂרִידִים
- מאגר
- בקשות
- תגובה
- להפוך
- הפעלה
- הונאה
- אבטחה
- נראה
- שיתוף
- משותף
- שיתוף
- פָּגָז
- בקצרה
- חֶברָתִי
- מדיה חברתית
- מוצק
- כמה
- ממומן
- צעדים
- חנות
- כזה
- להציע
- תמיכה
- תָג
- לקחת
- המשימות
- משימות
- טכני
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אלה
- זֶה
- ל
- תְנוּעָה
- שתיים
- לֹא בָּטוּחַ
- תחת
- הבנה
- חסר מזל
- לצערי
- לְפַעֲנֵחַ
- מְשׁוּמָשׁ
- תקף
- מרצון
- ארנק
- היה
- אינטרנט
- דפדפן אינטרנט
- בניית אתרים
- מי
- עם
- בתוך
- ראוי
- כתיבה
- זפירנט