独占記事 それはLinkedInのメッセージから始まりました。最近の雇用詐欺の多くがそうであるように。
Genusix Labsというブロックチェーン企業で働いていると主張するリクルーターが、セルビア在住のウェブ開発者Boris Vujičićに、その企業でのフルタイムのリモート開発者職に応募することを招待しました。
Vujičićは求人詐欺に慣れています。彼は毎日このようなメッセージを受け取ると述べており、1日に8件受け取ったという個人最高記録を持っています。さらに、彼はStep Financeで働いていた経歴がありますが、同社はセキュリティ侵害とその後の4000万ドルの暗号資産横領によって、今年初頭に分散型金融ビジネスが閉鎖されました。
「暗号資産業界にいて仕事を探している誰もが、これらのハックを使った標的にされています」とVujičićはThe Registerのインタビューで述べています。
彼は通常、これらのメッセージを無視するか、時々送信者と遊んで「彼らの時間を無駄にし、課題として彼らのウイルスがどこに隠されているかを探すことがあります」。
しかし、このメッセージは合法的に見えました。同社はLinkedInプロフィールと、「リーダーシップチーム」の顔写真が掲載されたありふれたウェブサイトを持っていており、それらの個人がメッセージングしており、Vujičićにインタビューしようとしていました。HRとの最初のインタビューはZam Villalon(同社のウェブサイトにリストアップされ、写真が掲載されている従業員)で、カメラをオンにしたZoomコールであり、「安っぽいディープフェイクには見えませんでした」とVujičićは述べています。
「それは自然に感じられました。彼女の顔自体は偽物には見えず、彼女の英語は素晴らしく、何か変なことは何もありませんでした」と彼は覚えています。
Vujičićは2番目のラウンドに進むことに同意しました。2人のエンジニアとの技術的なインタビューで、その1人は同社のウェブサイトにリストアップされ、写真も掲載されていました。もう一度、インタビューについて何か変なことは感じられず、Vujičićはその会話を楽しんだと述べています。3人は、開発者と暗号資産企業を標的にしたすべての求人詐欺についてジョークまで言いました。
そのインタビューの終わりに、エンジニアはVujičićにライブコーディングテストを送ることができるかどうか尋ね、彼は同意しました。
「実行する前に、疑わしいことがないかチェックすると言いました」と彼は詐欺師との経験の詳細を述べたXの投稿シリーズに書いています。「彼らは笑いました。「自由にバックドアを探してください。」」
詐欺師は彼に「コードを調べて、疑わしくないことを確認してください。任意のクラウド環境で実行できます」と言いました、とVujičićは私たちに述べています。「彼らは私を安心させてくれました—そして彼らはそれを上手にやってくれました—警戒心を緩めて、とんでもないコードを実行させるために。」
彼はとんでもないコードを実行しました。そしてmacOSのポップアップが表示されました:「patch[.]shがバックグラウンドプロセスとして実行されたいと思っています。」
Vujičićはインタビューを終了し、Wi-Fiを切り、悪意のあるスクリプトを探し始めました。彼はそれをコンピューター上の一時的なカメラドライバーフォルダーで見つけました。名前はcamdriver[.]shです。「スクリプトは非常に洗練されていて美しいです。私はそのコードが好きです」と彼は述べています。「そのコードを書いた人は非常に賢い人です。」
攻撃は、彼が言うところによると、「依存関係の依存関係の中に隠されていた」であり、偽のコーディングテストを実行すると、シェルスクリプトがバックグラウンドで静かに実行され、何か変なことが起きているという兆候はありませんでした。
「CPUアーキテクチャをチェックし、それに基づいて、適切なウイルスをダウンロードします」と彼は述べており、コードはコンピューターが起動するたびに自動的に再起動するように設定されていると付け加えています。
その後、Goで書かれたバックドアをダウンロードします。このバックドアはカスタムRC4暗号化プロトコルを使用し、シェル実行、ファイル盗難、Chrome パスワード抽出、Keychain 横領、暗号資産ウォレットを標的とするコマンドを含みます。
Vujičićは直ちにマシン上で実行されているすべての悪意のあるスクリプトを停止し、ファイルごとにマルウェアを手動で削除しました。
それでも、Wi-Fiを切る前にコードが実行されていた短い時間—合計56秒—の間に、犯人は634個の保存されたChromeパスワード、VujičićのmacOS Keychain、およびMetaMaskウォレットデータを収集していました。「すべての保存されたパスワード—銀行、メール、GitHub—は彼らの側で読み取り可能でした」とVujičićはXに書きました。
それ以来、彼はすべてのパスワードを変更し、デジタル泥棒が彼の暗号資産を盗まなかったことを私たちに述べています。
Vujičićは、詐欺されたことに気付いた後の最初の感情は恥だと述べています。「私は、なぜ?なぜ私はそんなに愚かだったのか?なぜ私はこれをしたのか?と思いました。」
彼は最初、「エンジニア」にGitHubリポジトリの実行に慣れていないと述べており、彼らは彼がコーディングテストを実行する別の方法を考え出すことを申し出たと述べています。おそらくオンラインエディターを使用しています。「彼らは実行を強く押していませんでした」とVujičícは述べており、その非押しの姿勢が彼が詐欺師を信頼してコードを実行するのに十分快適に感じさせた理由です。
Vujičićは偽の会社GitHubリポジトリをnpmとGitHubの両方に報告し、GenusixプロフィールをLinkedInに、ドメインをウェブホスティングプロバイダーHostGatorに、IPアドレスをAbuseRadarに報告しました。
彼はまた、すべてのログと成果物をStep Finance侵害を調査した以前のインシデント対応者zeroShadowに転送し、Vujičícは私たちにブロックチェーン情報会社が北朝鮮政府と関連した攻撃者が以前の会社侵害とVujičićを標的とした採用詐欺の両方の背後にいると信じていることを述べています。彼は両方が同じコードと同じ戦術を使用したと述べています。
「それは非常に怖いです」と彼は述べています。「詐欺はますます洗練されていっています。どのようにしてそれに引っかからないようにするのですか?」
Vujičićはすでに進行を見ることができます。「もし彼らが通常のインタビューをしたら、クリックする必要があるスキャム リンクを押さず、お金について話し、契約を送ってくれて、「私たちと一緒に働きましょう」と言ったらどうなるでしょうか。」
したがって、Vujičić—または任意の開発者—は、リモートワーカーとして企業に雇用されたと信じています。その後、彼は会社のSlackチャネルまたはDiscordサーバーに参加するよう招待されます。「彼らは私に偽のオンボーディング ドキュメント、偽のタスクを与え、1日か2日でウイルスを押すことができます。」
そして、彼らは彼の認証情報を盗み、彼の暗号資産ウォレットを排出し、彼のレジストリを感染させ、彼のCI/CDパイプラインを侵害します。私たちが最近の開発者標的攻撃で見たように。
開発者のシークレットを盗み、彼らの環境を侵害しようとしている詐欺師に関しては、Vujičićは「それが次に起こるステップになるだろう—それがまだ起こっていないとしても」と心配しています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/23/job_scam_targeted_developer/
