Bir blockchain geliştiricisi, tatil sırasında bir web geliştirme işi için bir “işe alım görevlisi”nin LinkedIn’de kendisine başvurduğu sırada yaşadığı sıkıntıyı paylaşıyor.
Söz konusu işe alım sorumlusu, geliştiriciden GitHub deposundan npm paketleri indirmesini istedi ve geliştirici saatler sonra MetaMask cüzdanının boşaltıldığını keşfetti.
Eve dönüş işi egzersizi geliştiricinin kripto cüzdanını boşaltıyor
Antalya merkezli Murat ÇeliktepeBir blockchain ve web geliştiricisi olan , bu hafta LinkedIn’de bir “işe alma uzmanının” meşru görünen bir Upwork iş ilanıyla kendisine nasıl yaklaştığını paylaştı.
İş görüşmesinin bir parçası olarak işe alım sorumlusu, Çeliktepe’den GitHub deposunda barındırılan “web3_nextjs” ve “web3_nextjs_backend” olmak üzere iki npm paketindeki kodu indirip hata ayıklamasını istedi. Ancak birkaç dakika sonra geliştirici, BleepingComputer tarafından görülen bilgilere göre MetaMask cüzdanının boşaltıldığını ve hesabından 500 dolardan fazla paranın çekildiğini keşfetti.
Upwork iş ilanı, başvuru sahibinden “hataları ve duyarlılığı düzeltmesini” ister [sic] web sitesinde” ve bir aydan kısa sürmesi beklenen bir görev için saatte 15 ila 20 dolar arasında ödeme yaptığını iddia ediyor.
LinkedIn profil resminde “#OpenToWork” etiketini taşıyan Çeliktepe, bu görevi denemeye karar verdi ve “teknoloji görüşmesi” kapsamında işe alım uzmanının paylaştığı GitHub depolarını indirdi.
Meşru teknoloji görüşmelerinin, kod yazma veya hata ayıklamayı içeren bir tür eve götürme egzersizi veya kavram kanıtlama (PoC) ödevini içermesi alışılmadık bir durum değildir; bu, geliştiriciler gibi teknik açıdan bilgili insanlar için bile cazibeyi oldukça ikna edici kılar.
(Bipleyen Bilgisayar)
Söz konusu GitHub depolarında bulunan uygulamaların [1, 2] formatları ve içerdikleri öğeler göz önüne alındığında geçerli npm projeleridir paket.json manifest’te yer alıyor ancak bunlar, JavaScript projelerinin en büyük açık kaynak kaydı olan npmjs.com’da yayınlanmış gibi görünmüyor.
“MetaMask cüzdanım tamamen boşaltıldı… Mülakat süreci ve iş ataması bahanesiyle cüzdanımın tamamı, nasıl olduğunu henüz anlayamadığım bir şekilde tamamen boşaltıldı.” yazdı Çeliktepe in Turkish on social media.
“Kodları aşağıda paylaşacağım, nasıl olduğunu anlamama yardımcı olabilecek biri varsa çok mutlu olurum.”
Atama talimatları uyarınca geliştirici, hem GitHub depolarını klonladı hem de makinesinde hem ön uç hem de arka uç uygulamalarını yerel olarak çalıştırırken sorunu bulmak için örneğinde hata ayıklamaya başladı.
Görevin ardından, LinkedIn’de kendisine yaklaşan adamla bir Google Meet oturumuna katıldı ve çözümü açıkladı; işte bu kadardı ya da geliştirici öyle düşünüyordu. Ancak birkaç saat sonra geliştirici, Ethereum bakiyesinin tükendiğini fark etti.
Geliştirici tarafından paylaşılan ve BleepingComputer tarafından görülen son işlemler arasında, geçen hafta başka bir kripto adresine gönderilen 0,225 ETH tutarındaki giden bir işlem de yer alıyor; bu yaklaşık 538 ABD dolarıdır.
Aynı dolandırıcılıkta daha fazla geliştirici hedef alındı
Her iki depoda da bulunan kodu incelemesine rağmen geliştirici, para kaybetmesine neden olan bu saldırının tam mekanizması konusunda hâlâ emin değil. toplumdan yardım istiyor aynı şeyi anlamak için.
Çağrısının hemen ardından fırsatçı kripto botlar ve dolandırıcılık hesapları geldi ve onu sahte “MetaMask desteği” Gmail adresleri ve Google formlarıyla iletişime geçmeye ikna etti.
Bununla birlikte, yasal olarak endişe duyan bazı topluluk üyeleri, görüşlerini sunmak için harekete geçti.
İstanbul merkezli bir böcek ödül avcısı varsayılmış Geliştirici tarafından yürütülen npm projelerinin, saldırganın, bağlantıları “dinlemeye” başlayan makinesinde 5000 numaralı bağlantı noktasını açarak ters kabuk konuşlandırması için gerekli yolları etkili bir şekilde açtığı görüldü.
BleepingComputer, açıklanan kodun arka uç uygulamasında varlığını doğruladı [1, 2] “web3_nextjs_backend”, ancak saldırganların gerçekten bu saldırı vektörü aracılığıyla geliştiricinin makinesine erişim sağlayıp sağlamadığını bağımsız olarak doğrulayamadık.
Furthermore, Çeliktepe says asla saklamadı bilgisayarında gizli “12 kelime” veya resmi olarak MetaMask’ın Gizli Kurtarma İfadesi (SRP) olarak bilinen şeyi saklıyor ve bu nedenle, saldırganlar makinesine erişim sağlasa bile MetaMask cüzdanının nasıl ihlal edildiğini anlamıyor.
BleepingComputer ayrıca pakette Bitcoin adresleri oluşturmaya yardımcı olan bir “ana genel anahtarın” veya genişletilmiş bir genel anahtarın varlığını gözlemledi.
Verilerin yapıldığı ağ istekleri de vardır. flickthebean.onrender[.]iletişim web3_nextjs içindeki çeşitli dosyalar tarafından. Ancak bir kez daha, bunların hepsinin basit bir yarı iş görüşmesi uygulamasının parçası mı yoksa kripto çalma saldırısı mı olduğu belirsizliğini koruyor.
Topluluk üyeleri tarafından öne sürülen diğer teoriler arasında, geliştiricinin makinesine kötü amaçlı yazılım bulaşması yerine, yasadışı npm projesinin geliştiricinin şifrelerini kopyalaması yer alıyor. bir web tarayıcısından otomatik doldurmanın etkin olduğu veya ağ trafiği ele geçirildi “Teknik görüşme” sırasında gönüllü olarak çalıştırdığı kodla.
Saldırı vektörü ne olursa olsun, bu şekilde hedef alınan tek kişi Çeliktepe değil, aynı “işe alan kişi” tarafından da hedef alınıyor.
Başka bir blockchain geliştiricisi ve güvenlik araştırmacısı Bartu Bozkurt, ayrıca yaklaşıldı LinkedIn’deki “iş” için sadece birkaç gün önce, bunu “çok iyi bilinen bir hack türü” olarak adlandırıyor.
Bir diğer geliştirici Mehmet Selim de onaylıyor Çeliktepe’ye ulaşan aynı personel alımı görevlisi tarafından mesaj gönderiliyor.
Bu nedenle web geliştiricileri ve güvenlik araştırmacıları, kariyer geliştirme platformlarındaki sahte iş tekliflerine karşı dikkatli olmalıdır; zira bunlar dolandırıcılık olabilir. Ne kadar zararsız görünse de, eve götürülebilecek herhangi bir iş alıştırmasını birincil cihazınızdan ayrı bir (sanal) makinede tamamlamak iyi bir fikirdir.
s/t @KutluSoz tüyo için.