Blockchain programer dijeli svoje muke kada mu se na LinkedInu tokom praznika obratio “regruter” za posao razvoja web stranica.
Dotični regruter je zamolio programera da preuzme npm pakete iz GitHub repozitorija, a satima kasnije programer je otkrio da je njegov MetaMask novčanik ispražnjen.
Vježba za posao prazni kripto novčanik programera
Murat Çeliktepe sa sjedištem u Antaliji, blockchain i web programer, podijelio je ove sedmice kako mu se obratio “regruter” na LinkedIn-u sa Upwork oglasom za posao koji je izgledao legitimno.
Kao dio intervjua za posao, regruter je zamolio Çeliktepea da preuzme i debuguje kod iz dva npm paketa—„web3_nextjs“ i „web3_nextjs_backend“ koji se nalaze na GitHub repozitorijumu. Međutim, nekoliko trenutaka kasnije, programer je otkrio da je njegov MetaMask novčanik ispražnjen – gdje je više od 500 dolara izvučeno sa njegovog računa, na osnovu informacija koje je vidio BleepingComputer.
Poruka regrutera programeru na LinkedIn-u (Murat Çeliktepe)
Upwork oglas za posao traži od kandidata da “ispravi greške i responzivnost [sic] na web stranici” i tvrdi da plaća između 15 i 20 dolara po satu za zadatak za koji se očekuje da će trajati manje od mjesec dana.
Oglas za posao, kako se u to vreme pojavio na Upvork-u (BleepingComputer)
Çeliktepe, čija LinkedIn profilna slika nosi oznaku “#OpenToWork”, odlučio je da prihvati ovaj izazov i preuzeo je GitHub repozitorije koje je podijelio regruter, kao dio “tehničkog intervjua”.
Nije neobično da legitimni tehnički intervjui uključuju neku vrstu vježbe za ponijeti kući ili zadatka dokazivanja koncepta (PoC) koji uključuje pisanje koda ili otklanjanje grešaka, što čini mamac vrlo uvjerljivim čak i za tehnički potkovane ljude, poput programera.
Jedan od npm projekata na GitHub-u koji je programer zatražen da preuzme (BleepingComputer)
Imajte na umu da su aplikacije prisutne u navedenim GitHub repoima važeći npm projekti, s obzirom na njihov format i uključeni manifest package.json, ali izgleda da one nisu ikada objavljene na npmjs.com, najvećem otvorenom registru JavaScript projekata.
“Moj MetaMask novčanik je bio potpuno ispražnjen… pod izgovorom procesa intervjua i dodjele posla, cijeli moj novčanik je bio potpuno ispražnjen na način na koji još ne razumijem tačno kako”, napisao je Çeliktepe na turskom na društvenim mrežama.
“Podijeliću kodove ispod, bio bih veoma sretan ako bi mi neko mogao pomoći da shvatim kako.”
Prema uputama za zadatak, programer je klonirao oba GitHub spremišta i počeo da otklanja greške u svojoj instanci kako bi pronašao problem dok je pokretao i frontend i backend aplikacije lokalno na svom uređaju.
Nakon zadatka, prisustvovao je Google Meet sesiji sa čovjekom koji mu se obratio na LinkedInu i objasnio rješenje – i to je bilo to, ili je barem tako mislio programer. Osim što je nekoliko sati kasnije, primijetio je programer, njegov Ethereum saldo ispražnjen.
Među nedavnim transakcijama koje je programer podijelio i koje je vidio BleepingComputer, je odlazna transakcija za 0,225 ETH—približno 538 USD poslana na drugu kripto adresu prošle sedmice.
Ethereum adresa programera prikazuje odlazne transakcije (BleepingComputer)
Više programera ciljani u istoj prijevari
Uprkos tome što je pregledao kod prisutan u oba spremišta, programer još uvijek nije siguran u točnu mehaniku ovog napada koji ga je doveo do gubitka novca i traži pomoć od zajednice da shvati isto.
Njegov apel je ubrzo propraćen, činilo se oportunističkim kripto botovima i prevarantskim nalozima, podstičući ga da se obrati lažnim “MetaMask podrška” Gmail adresama i Google obrascima.
Međutim, neki legitimno zabrinuti članovi zajednice su se angažovali da daju svoje uvide.
Lovac na bagove iz Istanbula je pretpostavio da su npm projekti koje je programer pokrenuo efektivno omogućili napadaču da postavi obrnuti šel (reverse shell), otvarajući port 5000 na njegovom računaru koji je počeo “slušati” veze.
BleepingComputer jeste potvrdio prisustvo opisanog koda unutar pozadinske aplikacije “web3_nextjs_backend”, ali nismo bili u mogućnosti da nezavisno potvrdimo da li su napadači zaista dobili pristup mašini programera preko ovog vektora napada.
Nadalje, Çeliktepe kaže da nikada nije čuvao tajnu “12 riječi” ili ono što je formalno poznato kao MetaMask-ova tajna fraza za oporavak (SRP) na svom kompjuteru i stoga ne razumije kako je njegov MetaMask novčanik probijen, čak i ako bi napadači dobili pristup njegovoj mašini .
BleepingComputer je dalje uočio prisustvo “glavnog javnog ključa” ili proširenog javnog ključa u paketu koji izgleda da pomaže u generisanju Bitcoin adresa.
Postoje i mrežni zahtjevi sa podacima koji se šalju na flickthebean.onrender[.]com od strane nekoliko datoteka unutar web3_nextjs. Ali još jednom, ostaje nejasno da li je sve ovo dio jednostavne vježbe kvazi intervjua za posao ili napada kriptokrađe.
Druge teorije koje su predložili članovi zajednice uključuju, umjesto da se programerova mašina inficira malverom, da je nedozvoljeni npm projekat kopirao njegove lozinke iz web preglednika koji je imao omogućeno automatsko popunjavanje, ili da je njegov mrežni promet presretan kodom koji je dobrovoljno pokrenuo tokom “tehničkog intervjua”.
Kakav god da je vektor napada, Çeliktepe nije jedini koji je bio na meti na ovaj način, i to od strane istog “regrutera”.
Još jedan blockchain dev i istraživač sigurnosti Bartu Bozkurt kaže da su mu se također obratili za “posao” na LinkedInu, samo nekoliko dana prije, i to naziva “veoma dobro poznatom vrstom hakovanja”.
Još jedan programer, Mehmet Selim, također potvrđuje da ga je kontaktirao isti regruter koji je kontaktirao Çeliktepea.
Kao takvi, web programeri i istraživači sigurnosti trebali bi paziti na lažne ponude za posao na platformama za razvoj karijere jer bi to mogle biti prevare. Dobra je ideja završiti sve vježbe za posao koji možete ponijeti kući – bez obzira koliko naizgled benigni, na (virtuelnoj) mašini koja je odvojena od vašeg primarnog uređaja.
Izvor: BleepingComputer
