Un dezvoltator de blockchain, Murat Çeliktepe, a împărtășit un incident supărător, relatând o experiență de vacanță care a dus la pierderea a 500 de dolari din portofelul său MetaMask pentru o persoană care se dădea drept „recruter”.
În special, Çeliktepe a fost contactat inițial pe LinkedIn sub pretenția unei veritabile oportunitati de angajare în dezvoltare web.
Dezvoltatorul cade pradă înșelătoriei de joburi de codare
În timpul presupusului interviu de angajare, recrutorul l-a instruit pe Çeliktepe să descarce și să depaneze codul din două pachete npm, și anume „web3_nextjs” și „web3_nextjs_backend”, ambele găzduite într-un depozit GitHub.
Din păcate, la scurt timp după ce a respectat instrucțiunile, dezvoltatorul a descoperit că portofelul său MetaMask fusese epuizat, depășind 500 USD. în mod fraudulos retras din contul său.
Lista de locuri de muncă Upwork solicită solicitanților să „remedieze erorile și capacitatea de răspuns [sic] pe site-ul web” și pretinde că oferă o plată orară între 15 USD și 20 USD pentru o sarcină care se estimează a fi finalizată în mai puțin de o lună.
Intrigat de această oportunitate, Çeliktepe, care afișează în mod vizibil eticheta „#OpenToWork” pe fotografia sa de profil LinkedIn, a decis să accepte provocarea. El a descărcat depozitele GitHub pe care recrutorul le-a furnizat ca parte a „interviului tehnologic”.
Implicarea în interviuri tehnice implică adesea exerciții de acasă sau sarcini de dovadă a conceptului (PoC), inclusiv sarcini precum scrierea codului sau depanarea. Acest lucru face ca oferta să fie deosebit de convingătoare, chiar și pentru persoanele cu expertiză tehnică, cum ar fi dezvoltatorii.
Este de remarcat faptul că aplicațiile găsite în depozitele GitHub menționate [1, 2] sunt proiecte npm valide, așa cum demonstrează formatul lor și prezența manifestului package.json. Cu toate acestea, aceste proiecte nu par să fi fost publicate pe npmjs.com, cel mai mare registru open-source pentru proiecte JavaScript.
Comunitatea face un pas înainte pentru a dezvălui misterul atacului
După ce și-a împărtășit experiența nefericită pe rețelele de socializare, Çeliktepe a contactat comunitatea pentru asistență pentru înțelegerea mecanismului atacului. În ciuda verificării codului din depozitele GitHub, el rămâne nesigur cu privire la metoda folosită pentru a-și încălca Portofel MetaMask întrucât nu și-a stocat fraza de recuperare a portofelului pe aparatul său.
Ca răspuns la cererea de ajutor a lui Çeliktepe, comunitatea s-a adunat cu sprijin real și cripto-boți oportuniști care au oferit asistență. Din păcate, au apărut și conturi de escrocherie, care l-au atras să se conecteze cu adrese Gmail și formulare Google frauduloase „Suport MetaMask”.
Perspectivele comunității sugerează că proiectele npm executate de Çeliktepe ar fi putut permite atacatorului să implementeze un shell invers, expunând potențial vulnerabilități pe mașina dezvoltatorului.
Alte teorii propuse de membrii comunității includ posibilitatea ca, în loc să infecteze mașina dezvoltatorului cu programe malware, proiectul ilicit npm ar fi putut copia parole dintr-un browser web cu completarea automată activată.
În plus, unii speculează că codul rulat voluntar în timpul „interviului tehnologic” ar fi putut intercepta traficul său de rețea, contribuind la încălcarea securității.
Binance gratuit 100 USD (exclusiv): Utilizați acest link pentru a vă înregistra și a primi 100 USD gratuit și 10% reducere la taxe la Binance Futures prima lună (termeni).
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://cryptopotato.com/blockchain-developers-metamask-wallet-emptied-in-deceptive-job-interview/
- :are
- :nu
- $UP
- 1
- a
- Despre Noi
- Cont
- Conturi
- adrese
- După
- AI
- permis
- de asemenea
- an
- și
- solicitanții
- aplicatii
- SUNT
- AS
- Asistență
- ataca
- fundal
- steag
- BE
- fost
- între
- binance
- Binance Futures
- blockchain
- Dezvoltator Blockchain
- frontieră
- atât
- roboţii
- încălcarea
- browser-ul
- gandaci
- by
- contesta
- creanțe
- cod
- Codificare
- culoare
- COM
- comunitate
- Terminat
- Conectați
- conţinut
- contribuind
- cripto
- hotărât
- implementa
- În ciuda
- Dezvoltator
- Dezvoltatorii
- Dezvoltare
- FĂCUT
- a descoperit
- afișează
- do
- Descarca
- în timpul
- a apărut
- activat
- capăt
- se bucura
- ispititor
- Chiar
- materializate
- depășire
- Exclusiv
- executat
- de aşteptat
- experienţă
- expertiză
- Falls
- Taxe
- First
- Pentru
- format
- formulare
- găsit
- necinstit
- Gratuit
- din
- Futures
- veritabil
- GitHub
- HAD
- Avea
- he
- ajutor
- -l
- lui
- Vacanță
- găzduit
- Totuși
- HTTPS
- ilicit
- in
- incident
- include
- Inclusiv
- individ
- persoane fizice
- inițial
- in schimb
- instrucțiuni
- intern
- Interviu
- interviuri
- JavaScript
- Loc de munca
- lista de locuri de muncă
- jpg
- JSON
- cea mai mare
- mai puțin
- ca
- Profilul LinkedIn
- listare
- de pe
- maşină
- FACE
- malware
- Margine
- mecanică
- Mass-media
- Membri actuali
- menționat
- MetaMask
- metodă
- ar putea
- Lună
- și anume
- reţea
- trafic de retea
- Nici unul
- observând
- of
- de pe
- oferi
- oferind
- de multe ori
- on
- open-source
- Oportunitate
- or
- afară
- pachet
- ofertele
- parte
- în special
- Parolele
- plată
- imagine
- Plato
- Informații despre date Platon
- PlatoData
- motiv
- PoC
- posibilitate
- potenţial
- prezenţă
- pradă
- Profil
- proiect
- Proiecte
- propus
- prevăzut
- publicat
- atins
- Citind
- a primi
- recuperare
- Inregistreaza-te
- registru
- rămășițe
- depozit
- cereri de
- răspuns
- inversa
- Alerga
- Înșelătorie
- securitate
- părea
- Distribuie
- comun
- partajarea
- Coajă
- Pe scurt
- Social
- social media
- solid
- unele
- Sponsorizat
- paşi
- stoca
- astfel de
- sugera
- a sustine
- TAG
- Lua
- Sarcină
- sarcini
- Tehnic
- decât
- acea
- lor
- Acestea
- acest
- la
- trafic
- Două
- Nesigur
- în
- înţelegere
- nefericit
- din pacate
- dezlega
- utilizat
- valabil
- de bunăvoie
- Portofel
- a fost
- web
- browser web
- dezvoltare web
- OMS
- cu
- în
- valoare
- scris
- Ta
- zephyrnet