Четверг, 2 мая, 2024

Вогон сегодня

Избранные новости из Галактики

Вогон сегодня
Криптовалюты

Кошелек MetaMask разработчика блокчейна опустел во время сомнительного собеседования

Вольфрамовый Куб

Разработчик блокчейна Мурат Челиктепе поделился печальным инцидентом, рассказав о своем отпуске, в ходе которого он потерял 500 долларов из своего кошелька MetaMask человеку, выдававшему себя за «рекрутера».

Примечательно, что с Челиктепе первоначально связались в LinkedIn под предлогом реальной вакансии в сфере веб-разработки.

Разработчик стал жертвой мошенничества с работой по программированию

Во время предполагаемого собеседования рекрутер поручил Челиктепе загрузить и отладить код из двух пакетов npm, а именно «web3_nextjs» и «web3_nextjs_backend», оба из которых размещены в репозитории GitHub.

К сожалению, вскоре после выполнения инструкций разработчик обнаружил, что его кошелек MetaMask опустошен, и со его счета обманным путем было снято более 500 долларов США.

Список вакансий Upwork требует от кандидатов «исправлять ошибки и обеспечивать оперативность [так в оригинале] на веб-сайте» и утверждает, что предлагает почасовую оплату в размере от 15 до 20 долларов за задачу, которая, как ожидается, будет выполнена менее чем за месяц.

Заинтригованный этой возможностью, Челиктепе, который размещает тег #OpenToWork на своей фотографии в профиле LinkedIn, решил принять вызов. Скачал репозитории GitHub, предоставленные рекрутером в рамках «технического собеседования».

Участие в технических собеседованиях часто включает в себя домашние упражнения или задания по проверке концепции (PoC), включая такие задачи, как написание кода или отладка. Это делает предложение особенно убедительным даже для людей с техническими навыками, например разработчиков.

Стоит отметить, что приложения, найденные в упомянутых репозиториях GitHub [1, 2], являются валидными npm-проектами, о чем свидетельствует их формат и наличие манифеста package.json. Однако эти проекты, похоже, не были опубликованы на npmjs.com, крупнейшем реестре проектов JavaScript с открытым исходным кодом.

Сообщество делает шаг вперед, чтобы разгадать тайну Attack

Поделившись своим неудачным опытом в социальных сетях, Челиктепе обратился к сообществу за помощью в понимании механики атаки. Несмотря на тщательное изучение кода в репозиториях GitHub, он по-прежнему не уверен в методе взлома его кошелька MetaMask , поскольку он не сохранил фразу восстановления кошелька на своем компьютере.

В ответ на призыв Челиктепе о помощи сообщество сплотилось и оказало искреннюю поддержку, а оппортунистические криптоботы предложили помощь. К сожалению, также появились мошеннические аккаунты, которые обманным путем заставили его подключиться к мошенническим адресам Gmail и формам Google «поддержки MetaMask».

По мнению сообщества, проекты npm, реализованные Челиктепе, могли позволить злоумышленнику реализовать обратную оболочку, потенциально обнаруживая уязвимости на компьютере разработчика.

Другие теории, предложенные членами сообщества, включают возможность того, что вместо заражения компьютера разработчика вредоносным ПО незаконный проект npm мог скопировать пароли из веб-браузера с включенным автозаполнением.

Кроме того, некоторые предполагают, что код, добровольно выполненный во время «технического собеседования», мог перехватить его сетевой трафик, способствуя нарушению безопасности.

Сообщение «Кошелёк MetaMask разработчика блокчейна опустел во время позорного собеседования» впервые появилось на CryptoPotato .