Скам в тестовом задании

Malware in a Take-Home Assignment https://www.linkedin.com/pulse/malware-take-home-assignment-denis-zhbankov-nnt3f

Всем привет! Этим постом хочу призвать разработчиков, авто-тестировщиков, девопсов и других специалистов, чья работа сопряжена с кодом: не открывайте без виртуального рабочего стола никакой код, даже если он кажется тестовым безобидным заданием!

А если кто-то может/ хочет помочь в обнародовании или даже передачи этой истории в нужные уполномоченные органы — буду страшно признательна!

Предисловие

Моему партнёру (далее — Денис) прислали тестовое задание, в котором был вредоносный код.

Денис всегда запускает весь сторонний код в виртуалке, за что недавно получил насмешку

Ой, а камеру заклеиваешь на компьютере?!

Я бесконечно горда Деном, что он не ведётся на такое, в отличие от меня. И правильно делает, что не запускает ничего на своём компе, а вот камеру не заклеивает.

В общем, версия Дена изложена в ссылочке, а тут я дам русскую версию — так подсказали мне сделать дорогие админы!

История из первых уст

Перевод с помощью claude.ai

« Привет всем!
На прошлой неделе человек, представившийся бразильцем (прим. автора — все скрины будут у Дена в посте»), предложил мне «тестовое задание» как часть процесса найма.

Luiz Antonio Haus
Director | Crypto Investor
Curitiba, Paraná, Brazil
https://www.linkedin.com/in/luiz-antonio-haus-02b85031/

Проект казался подозрительно большим для разового задания по программированию, поэтому я провел расследование и обнаружил, что это на самом деле вредоносное ПО.
При запуске оно загружает сильно обфусцированный JavaScript код с C2 - Command and Control сервера, который затем выполняется с использованием встроенной функции NodeJS require в качестве параметра. Можете посмотреть, как это происходит, в файле ./backend/src/cookie.js.

Текст вредоносного ПО можно загрузить с их сервера (это вредно, только если вы его не запускаете). Поскольку он сильно обфусцирован и нечитаем невооруженным глазом, я попросил Grok проанализировать, что он делает.

Код сканирует пользовательские профили в популярных браузерах на предмет специфических расширений браузера, связанных с криптокошельками. Он извлекает конфиденциальные данные (например, локальное хранилище, базы данных LevelDB, содержащие ключи, seed-фразы или данные сессий) из этих расширений.
Короче говоря, он крадет файлы криптокошельков из ваших локальных директорий и загружает их на сервер, вероятно, чтобы позже опустошить ваши средства.
Репозиторий был создан одним коммитом от человека с именем, которое кажется украинским, но которое также упоминается в отчете по кибербезопасности, связывающем его с Северной Кореей.

Oleksandr Kazadaiev
Oleksandr522 oleksandrkazadaiev522@gmail.com
https://bitbucket.org/devchallenge/challenge/commits/e81b98a86774ede00917253abb86970b5d1fc413/raw

Адрес сервера привязан к голландской VPS-компании.

ASN: AS49870 - Alsycon B.V.
Hostname: aviso3.contavalidaseg.com
Range: 45.95.147.0/24
Компания: Alsycon B.V. | VPS - Выделенные серверы - Колокация

https://ipinfo.io/45.95.147.224

Хостнейм зарегистрирован на другого человека, также представляющегося бразильцем.

Alex Rafael
Сан-Паулу, Бразилия
+55.11916822917
alexrafaelars@gmail.com
https://who.is/whois/contavalidaseg.com

Я считаю, что полиция могла бы расследовать номер телефона и платежи за аренду сервера, чтобы выследить этих людей. Если вы знаете лучший способ сообщить об этом в бразильскую полицию, пожалуйста, дайте мне знать.
Будьте осторожны и никому не доверяйте.»

Action Item

Давайте попробуем придать этому хамскому скаму огласку! С любыми предложением, пусть даже самыми интересными, приходите сюда, в личку, куда угодно!

Я возмущена примерно на 9/10!