Bir blockchain geliştiricisi, bir web geliştirme işi için bir "işveren" tarafından LinkedIn'e yaklaşıldığında tatillerde çilesini paylaşıyor.
Söz konusu işveren, geliştiriciden bir GitHub deposundan NPM paketlerini indirmesini istedi ve saatler sonra geliştirici metamask cüzdanının boşaltıldığını keşfetti.
Antalya merkezli bir blockchain ve web geliştiricisi olan Murat Çeliktepe, bu hafta LinkedIn'de bir "işe alım" tarafından nasıl yaklaşıldığını, meşru görünen bir upwork iş ilanı ile nasıl yaklaşıldığını paylaştı.
İş görüşmesinin bir parçası olarak, işe alımcı Çeliktepe'den kodu iki NPM paketinde indirmesini ve hata ayıklamasını istedi - "Web3_NextJs" ve "Web3_NextJs_Backend" bir GitHub deposunda barındırıldı. Bununla birlikte, saatler sonra, geliştirici, Metamask cüzdanının boşaltıldığını keşfetti - BleepingComputer tarafından görülen bilgilere dayanarak, hesabının 500 $ 'ı sifonlandı.
Upwork iş ilanı, başvurandan "web sitesinde hataları ve dirençleri [sic] düzeltmesini" ister ve bir aydan kısa bir süre alması beklenen bir görev için 15 ila 20 dolar arasında ödeme yapmayı talep eder.
LinkedIn profil resmi "#Opentowork" etiketi taşıyan Çeliktepe, bu zorluğu bir şekilde vermeye karar verdi ve işe alım görevlileri tarafından paylaşılan GitHub depolarını "Teknoloji Röportajı" nın bir parçası olarak indirmeye karar verdi.
Meşru teknoloji röportajlarının, kod yazma veya hata ayıklama içeren bir tür eve götürme egzersizi veya konsept kanıtı (POC) ödevi içermesi olağandışı değildir, bu da cazibeyi geliştiriciler gibi teknik olarak anlayışlı insanlar için bile oldukça ikna edici hale getirir.
Bahsedilen GitHub depolarında [1, 2] bulunan uygulamaların, formatları ve dahil edilen paketleri göz önüne alındığında geçerli NPM projeleri olduğunu unutmayın. JavaScript Projelerinin Kaynak Kayıt Defteri.
"Metamask cüzdanım tamamen boşaltıldı ... Görüşme süreci ve iş ataması bahanesi altında, tüm cüzdanım tamamen tam olarak nasıl olduğunu anlamadığım şekilde boşaltıldı."
"Aşağıdaki kodları paylaşacağım, birisi nasıl olduğunu anlamama yardım edebilseydi çok mutlu olurum."
Atama talimatlarına göre, geliştirici her iki GitHub depolarını klonladı ve hem ön uç hem de arka uç uygulamalarını yerel olarak makinesinde çalıştırırken sorunu bulmak için örneğini hata ayıklamaya başladı.
Görevin ardından, LinkedIn'de kendisine yaklaşan adamla bir Google toplantısı oturumuna katıldı ve çözümü açıkladı - ve bu da geliştirici düşündü. Birkaç saat sonra, geliştirici fark etti, Ethereum dengesi boşaltılmıştı.
Geliştirici tarafından paylaşılan ve BleepingComputer tarafından görülen son işlemler arasında, 0.225 ETH için giden bir işlem var - geçen hafta başka bir kripto adresine gönderilen 538 ABD Doları.
Her iki depoda da bulunan kodlara bakmasına rağmen, geliştirici hala para kaybetmesine neden olan ve bunu anlaması için topluluktan yardım arayan bu saldırının kesin mekaniği hakkında hala emin değil.
Onun çekiciliği, fırsatçı kripto botları ve aldatmaca hesapları gibi görünen, sahte "Metamask Desteği" Gmail adresleri ve Google formları ile temasa geçmesini hızla takip etti.
Bununla birlikte, meşru olarak endişe verici topluluk üyeleri, görüşlerini sunmak için hızlandırdı.
İstanbul merkezli bir böcek avcısı, geliştirici tarafından yönetilen NPM projelerinin, saldırganın, bağlantılar için "dinlemeye" başlayan makinesinde 5000 bağlantı noktasını açarak saldırganın ters bir kabuk kullanma araçlarını etkili bir şekilde döşediğini varsaydı.
BleepingComputer, arka uç uygulamasında açıklanan kodun varlığını doğruladı [1, 2] "Web3_NextJs_Backend", ancak saldırganların bu saldırı vektörü aracılığıyla gerçekten geliştiricinin makinesine erişip erişmediğini bağımsız olarak onaylayamadık.
Dahası, Çeliktepe, asla gizli "12 kelimeyi" veya resmi olarak Metamask'ın Gizli Kurtarma İfadesi (SRP) olarak bilinen şey, saldırganların makinesine erişim kazanmış olsa bile metamas cüzdanının nasıl ihlal edildiğini anlamadığını söylüyor. .
BleepingComputer ayrıca, Bitcoin adreslerinin oluşturulmasına yardımcı olduğu görülen pakette bir "ana genel anahtar" veya genişletilmiş bir genel anahtarın varlığını gözlemledi.
Ayrıca FlicktheBean.onrender [.] COM için verilerin Web3_NextJS içindeki birkaç dosya tarafından yapılan ağ istekleri de vardır. Ancak bir kez daha, bunların hepsi basit bir yarı iş röportaj egzersizinin bir parçası olsun, ister kripto-açığa çıkan saldırı belirsizliğini koruyor.
Topluluk üyeleri tarafından önerilen diğer teoriler, geliştiricinin makinesinin kötü amaçlı yazılım bulaşması yerine, yasadışı NPM projesi, şifrelerini otomatik doldurma etkinleştirilmiş bir web tarayıcısından kopyaladı veya ağ trafiğinin gönüllü olarak çalıştığı kod tarafından durdurulduğunu "Teknoloji Röportajı" sırasında.
Saldırı vektörü ne olursa olsun, Çelikte bu şekilde hedeflenen tek kişi ve aynı "işe alımcı" tarafından da değil.
Başka bir blockchain Dev ve güvenlik araştırmacısı Bartu Bozkurt, LinkedIn'deki "iş" için de yaklaşıldığını ve buna "çok tanınmış bir hack türü" diyor.
Yine başka bir geliştirici olan Mehmet Selim, Çeliktepe'ye ulaşan aynı işe alım görevlisi tarafından mesajlaştığını doğruladı.
Bu nedenle, web geliştiricileri ve güvenlik araştırmacıları, kariyer geliştirme platformlarında sahte iş tekliflerine dikkat etmelidir, çünkü bunlar dolandırıcılık olabilir. Birincil cihazınızdan ayrı olan (sanal) bir makinede ne kadar iyi görünmese de, ev sahibi iş egzersizlerini tamamlamak iyi bir fikirdir.
H/t @Kutlusoz Tavsiyesi için.
99 bin kurbandan 60 milyon dolar çalmak için istismar edilen Ethereum özelliği
Github, kullanıcıları yaklaşan son tarihten önce 2FA'yı etkinleştirmeleri konusunda uyarıyor
Kripto dolandırıcıları, yüksek profilli hesapları taklit etmek için twitter ‘özelliğini kötüye kullanıyor
Yeni nkabuse kötü amaçlı yazılım, gizli comms için nkn blok zincirini kötüye kullanıyor
ABD 80 milyon dolarlık domuz kasap 'planının arkasındaki şüphelileri gözaltına alıyor
Kaynak: Bleeping Computer