Un desarrollador de blockchain, Murat Çeliktepe, ha compartido un incidente angustioso que relata una experiencia de vacaciones que resultó en la pérdida de $500 de su billetera MetaMask a un individuo que se hacía pasar por un «reclutador».
En certain, Çeliktepe fue contactado inicialmente en LinkedIn con el pretexto de una verdadera oportunidad laboral de desarrollo website.
Desarrollador es víctima de estafa laboral de codificación
Durante la supuesta entrevista de trabajo, el reclutador le indicó a Çeliktepe que descargara y depurara el código de dos paquetes npm, a saber, “web3_nextjs” y “web3_nextjs_backend”, ambos alojados en un repositorio de GitHub.
Desafortunadamente, poco después de cumplir con las instrucciones, el desarrollador descubrió que su billetera MetaMask se había agotado, superando los $500 retirados de manera fraudulenta de su cuenta.
La oferta de trabajo de Upwork solicita a los solicitantes «corregir errores y mejorar la capacidad de respuesta». [sic] en el sitio web” y afirma ofrecer un pago por hora de entre 15 y 20 dólares por una tarea que se espera completar en menos de un mes.
Intrigado por la oportunidad, Çeliktepe, quien muestra de manera destacada una etiqueta “#OpenToWork” en su foto de perfil de LinkedIn, decidió aceptar el desafío. Descargó los repositorios de GitHub que el reclutador le proporcionó como parte de la «entrevista técnica».
Participar en entrevistas técnicas a menudo implica ejercicios para llevar a casa o tareas de prueba de concepto (PoC), incluidas tareas como escritura de código o depuración. Esto hace que la oferta sea especialmente convincente, incluso para personas con conocimientos técnicos, como los desarrolladores.
Vale la pena señalar que las aplicaciones que se encuentran en los repositorios de GitHub mencionados [1, 2] son proyectos npm válidos, como lo demuestra su formato y la presencia del manifiesto package deal.json. Sin embargo, estos proyectos no parecen haber sido publicados en npmjs.com, el registro de código abierto más grande para proyectos de JavaScript.
La comunidad da un paso al frente para desentrañar el misterio del ataque
Después de compartir su desafortunada experiencia en las redes sociales, Çeliktepe pidió ayuda a la comunidad para comprender la mecánica del ataque. A pesar de examinar el código dentro de los repositorios de GitHub, sigue sin estar seguro del método utilizado para violar su billetera MetaMask, ya que no almacenó la frase de recuperación de su billetera en su máquina.
En respuesta a la petición de ayuda de Çeliktepe, la comunidad se unió con un apoyo genuino y criptobots oportunistas que ofrecieron asistencia. Desafortunadamente, también surgieron cuentas fraudulentas que lo incitaron a conectarse con direcciones de Gmail y formularios de Google fraudulentos de “soporte de MetaMask”.
Los conocimientos de la comunidad sugieren que los proyectos npm ejecutados por Çeliktepe podrían haber permitido al atacante implementar un shell inverso, exponiendo potencialmente vulnerabilidades en la máquina del desarrollador.
Otras teorías propuestas por miembros de la comunidad incluyen la posibilidad de que, en lugar de infectar la máquina del desarrollador con malware, el proyecto ilícito npm podría haber copiado contraseñas de un navegador world-wide-web con el autocompletar habilitado.
Además, algunos especulan que el código ejecutado voluntariamente durante la «entrevista técnica» podría haber interceptado el tráfico de su crimson, contribuyendo a la violación de seguridad.
