Бруно Суэйдер из Polygon разоблачил мошенников на LinkedIn

Бруно Суэйдер, известный как DevRel и главный специалист по догфудингу Polygon, поделился тревожным опытом. Специалист столкнулся с попыткой мошенничества через LinkedIn. Он рассказал, как фейковый рекрутер пытался заманить его в ловушку с вредоносным кодом. Суэйдер подчеркнул, что такие аферы представляют серьезную угрозу для разработчиков, особенно для тех, кто активно ищет работу и может быть недостаточно опытен.

История началась с длинного сообщения, которое сразу вызвало подозрения разработчика. По словам Суэйдера, чрезмерное количество текста — первый «красный флаг», так как настоящие рекрутеры обычно избегают излишней детализации и уклончиво отвечают о компании до личного разговора. В данном случае мошенник сразу предоставил ссылку на репозиторий, что указывает на попытку поскорее заставить жертву запустить код.

Изучив его, Суэйдер обнаружил тревожные признаки. Последний коммит в репозитории датирован 2018 годом и был единственным, что наводит на мысль о старом или поддельном проекте. Профиль разработчика DavidDev0219 выглядел подозрительно неактивным, что также насторожило его. Ожидая сложную атаку через зависимости NodeJS или скрытые файлы, он был удивлен простотой схемы.

Вредоносный код находился в socket.js, а горизонтальная прокрутка скрывала опасный payload. После запуска команды функции npm start, система становилась уязвимой. Анализ показал, что код собирает данные (домашняя директория, платформа, имя хоста и т.д.), отправляет HTTP-запросы на удаленный сервер, записывает полученные файлы на диск и выполняет их через child_process.exec. Процесс повторяется каждые 10 минут, если первая не удалась.

Суэйдер объяснил, что код использует стандартные техники обфускации, функции массива преобразуют индексы строк, и декодируют зашифрованные данные в реальный текст. Это затрудняет статический анализ. Эксперт признал, что без опыта он сам мог бы стать жертвой. Он советует разработчикам не запускать код от незнакомцев, даже если за это обещают награду.