Web3および暗号資産の開発者は、無差別な勧誘ではなく、綿密に設計された「インバウンド」型の罠によって引き起こされる、新たな標的型攻撃の波に直面しています。
フィッシングメールや見知らぬTelegramメッセージで被害者を追い回すのではなく、脅威アクターは偽の企業を作り、魅力的な求人を掲載し、高価値の標的が自ら彼らのインフラに足を踏み入れるのを待つようになっています。
この戦術的な転換は、ソーシャルエンジニアリングの大きな進化を示しています。長年、主流のモデルは「アウトバウンド」でした。攻撃者が接触を開始し、緊急性、なりすまし、または技術的な口実によって懐疑心を回避しようとしていました。
新たに台頭している「インバウンド」モデルでは、心理が逆転します。被害者が自発的に攻撃者へ近づくため、自然な防御が大幅に低下します。
この手口の中心にあるのは、高精度な偽組織、または正規のWeb3企業をクローンした組織の利用で、求人はyoubuidl.devというサイトを通じて掲載されています。
これらの募集は、スマートコントラクトエンジニア、プロトコル開発者、暗号資産インフラ向けDevOps、あるいはDeFiプラットフォームのセキュリティエンジニアといった、シニアまたは高待遇の職種を宣伝しています。
偽の面接アプリがWeb3開発者を誘い込む
目的は、技術力の高い候補者を引き寄せることです。そうした候補者は、個人の暗号資産ウォレット、ブラウザ拡張機能、または鍵を、開発に使うのと同じマシン上で管理している可能性が高いからです。
心理的な「引き寄せ」効果は微妙ですが強力です。被害者は求人に応募すると、自分がやり取りの開始者だと認識します。
これにより、通常の疑念モデルが反転します。典型的なフィッシングでは、予期しないメッセージが防御的な思考を促します。「なぜこの人は自分に連絡してくるのか?」しかしインバウンドの状況では、その疑問はほとんど生じません。
候補者は主導権を握っていると感じ、求人サイト、SNS、開発者コミュニティといった通常の経路で機会を見つけたのだと信じます。
いったん接触が成立すると、偽のリクルーターや採用担当者は、選考、技術面談、そして「実技課題」という馴染みのある流れへとプロセスを誘導します。
攻撃ベクターが持ち込まれるのはこの段階で、企業が評価を標準化するために使っているとされる「面接ソフト」「コーディングテスト環境」または「カスタムIDE」という形を取ります。
候補者は、主要な開発マシンにこのソフトウェアをダウンロードして実行するよう促されたり、圧力をかけられたりします。
裏では、このソフトウェアがローダーやリモートアクセスツールとして機能し、脅威アクターに被害者環境の可視性を与える可能性があります。
クラウドトークンとAPIシークレットが盗まれる
Web3の開発者にとって、リスクは特に高いものです。多くの人がMetaMask、Rabby、Phantomのようなウォレット拡張機能をブラウザで有効にしたままにし、シードフレーズをローカルのメモで管理したり、APIキーや秘密の認証情報を開発ディレクトリや環境変数に保存したりしています。
侵害が成功すれば、個人資産、企業インフラへのアクセス、さらには本番ワークフローで使用される署名鍵まで露出する可能性があります。
これらのキャンペーンにおける「大当たり」の標的は、個人の暗号資産ポートフォリオを持つ個人にとどまりません。現在の職務で本番システムと直接やり取りしている開発者、すなわちプロトコルのデプロイ、バリデータインフラ、マルチシグウォレット、またはトレジャリー管理ツールに関与する開発者です。
そのようなエンドポイントを1つ侵害することで、攻撃者はローカルでの窃取から、より広範な組織的侵害へと横展開できます。
この新たなインバウンド戦略は、Web3の脅威環境における重大な変化を浮き彫りにしています。信頼が、キャリアプロセスの最初の段階から武器化されているのです。
開発者は、独自の面接ツール、カスタムブラウザ、または「安全なテスト環境」をインストールするよう求められた場合、特に話がうますぎると感じるときは、見知らぬ添付ファイルに向けるのと同じレベルの疑いを持って対処するよう促されています。
翻訳元: https://gbhackers.com/web3-dev/
