Ein Blockchain-Entwickler, Murat Çeliktepe, hat einen beunruhigenden Vorfall erzählt, in dem er von einem Urlaubserlebnis erzählte, bei dem einer Person, die sich als „Personalvermittler“ ausgab, 500 US-Dollar aus seinem MetaMask-Wallet verloren gingen.
Bemerkenswert ist, dass Çeliktepe zunächst auf LinkedIn unter dem Vorwand kontaktiert wurde, dass es sich um eine echte Stellenausschreibung für die Webentwicklung handelt.
Entwickler wird Opfer von Coding-Job-Betrug
Während des angeblichen Vorstellungsgesprächs wies der Personalvermittler Çeliktepe an, den Code aus zwei npm-Paketen herunterzuladen und zu debuggen, nämlich „web3_nextjs“ und „web3_nextjs_backend“, die beide auf einem GitHub-Repository gehostet werden.
Leider stellte der Entwickler kurz nach der Befolgung der Anweisungen fest, dass sein MetaMask-Wallet aufgebraucht war und mehr als 500 US-Dollar betrügerisch von seinem Konto abgebucht worden waren.
In der Stellenanzeige von Upwork werden Bewerber aufgefordert, „Fehler zu beheben und die Reaktionsfähigkeit zu verbessern“. [sic] auf der Website“ und behauptet, eine Stundenzahlung zwischen 15 und 20 US-Dollar für eine Aufgabe anzubieten, die voraussichtlich in weniger als einem Monat erledigt sein wird.
Fasziniert von der Gelegenheit beschloss Çeliktepe, der auf seinem LinkedIn-Profilbild deutlich das Tag „#OpenToWork“ anzeigt, die Herausforderung anzunehmen. Er lud die GitHub-Repositories herunter, die der Personalvermittler im Rahmen des „Tech-Interviews“ bereitgestellt hatte.
Die Teilnahme an technischen Vorstellungsgesprächen umfasst häufig Übungen zum Mitnehmen oder Proof-of-Concept-Aufgaben (PoC), einschließlich Aufgaben wie Code-Schreiben oder Debuggen. Dies macht das Angebot besonders überzeugend, auch für Personen mit technischem Know-how, wie z. B. Entwickler.
Es ist erwähnenswert, dass die Anwendungen in den genannten GitHub-Repositorys zu finden sind [1, 2] sind gültige NPM-Projekte, was durch ihr Format und das Vorhandensein des package.json-Manifests belegt wird. Diese Projekte scheinen jedoch nicht auf npmjs.com, der größten Open-Source-Registrierung für JavaScript-Projekte, veröffentlicht worden zu sein.
Die Community engagiert sich, um das Geheimnis von Attack zu lüften
Nachdem er seine unglücklichen Erfahrungen in den sozialen Medien geteilt hatte, wandte sich Çeliktepe an die Community und bat sie um Hilfe beim Verständnis der Mechanismen des Angriffs. Obwohl er den Code in den GitHub-Repositories genau unter die Lupe nimmt, ist er sich immer noch nicht sicher, mit welcher Methode sein MetaMask-Wallet gehackt wurde, da er seine Wallet-Wiederherstellungsphrase nicht auf seinem Rechner gespeichert hat.
Als Reaktion auf Çeliktepes Bitte um Hilfe versammelte sich die Community mit echter Unterstützung und opportunistischen Krypto-Bots, die Hilfe anboten. Leider tauchten auch Betrugskonten auf, die ihn dazu verleiteten, sich mit betrügerischen „MetaMask-Support“-Gmail-Adressen und Google-Formularen zu verbinden.
Erkenntnisse aus der Community deuten darauf hin, dass die von Çeliktepe durchgeführten NPM-Projekte es dem Angreifer möglicherweise ermöglicht haben, eine Reverse-Shell bereitzustellen, wodurch möglicherweise Schwachstellen auf dem Computer des Entwicklers offengelegt wurden.
Andere von Community-Mitgliedern vorgeschlagene Theorien beinhalten die Möglichkeit, dass das illegale NPM-Projekt, anstatt den Computer des Entwicklers mit Malware zu infizieren, Passwörter aus einem Webbrowser mit aktivierter automatischer Ausfüllung kopiert haben könnte.
Darüber hinaus spekulieren einige, dass der während des „Tech-Interviews“ freiwillig ausgeführte Code möglicherweise seinen Netzwerkverkehr abgefangen und damit zur Sicherheitsverletzung beigetragen hat.