Разработчик Дэвид Додда рассказал, как в ходе собеседования столкнулся с киберпреступниками. Приглашение на работу поступило от «блокчейн-компании» в соцсетях.
Как рассказывает Додда, история началась с того, что он получил на LinkedIn сообщение от некоего Миколы Янчия, который приглашал его ознакомиться с вакансией в компанию, развивающую блокчейн-проекты. После договорённости о собеседовании Янчий прислал Додде Google-документ с информацией о проекте и кодом для поиска и исправления ошибок.
Додда отмечает, что в случаях, когда ему предлагают участие в фриланс-проектах с предоставлением уже готового кода, он сначала загружает этот код в Docker-контейнер и запускает в песочнице.
«В этот раз мне было немного лень, и до собеседования оставалось всего несколько часов, поэтому я начал работать над этим кодом сразу. Я исправил несколько очевидных ошибок и добавил к коду Docker-композицию. На всё ушло около 30 минут».
Перед тем, как запустить код, Додда в качестве последней меры предосторожности попросил нейросеть проверить, нет ли в нём чего-нибудь подозрительного — например, кода для чтения файлов, которые не следует читать, доступа к криптокошелькам и т.д.
«И, о чудо, агент обнаружил этот обфусцированный код», — пишет Додда.
Додда декодировал байтовый массив и получил URL https://api.npoint.io/2c458612399c3b2031fb9. Этот URL, по его словам, больше не работает, однако на момент проверки он содержал опасное ПО.
«Это было вредоносное ПО на стороне сервера. Полные привилегии Node.js. Доступ к переменным окружения, подключениям к базам данных, файловым системам, криптокошелькам. Ко всему», — пишет Додда.
Он подчёркивает: специалистам, которые активно общаются в LinkedIn и других соцсетях, необходимо быть осторожными. В его случае ни на странице «Янчия», ни на странице самой компании не было ничего подозрительного, что могло бы навести на мысль о мошенниках.
«Что в этом страшного? То, что этот вектор атаки идеально подходит для разработчиков. Мы скачиваем и запускаем код целыми днями. Репозитории GitHub, пакеты npm, задачи по программированию. Всегда изолируйте неизвестный код, не запускайте его на основной машине. Сканируйте его на предмет подозрительных шаблонов через ИИ-инструменты, проверяйте всё и доверяйте своей интуиции. Если кто-то торопит вас с выполнением кода, это тревожный сигнал», — заключает Додда.
Источник: habr.com