Айтишникам присылают тестовое, которое крадёт их пароли и деньги. «Северокорейцы любят такие темки»

В комментариях пишут, что такое в последнее время не редкость

— Слышал о таком трюке ранее, вот и довелось лицезреть самому: «эйчар» написал в LinkedIn, предложил пройти тестовое. После инвайта в репозиторий предложил пофиксить ошибки, которые обнаружу. На всё 30 минут (жертва должна торопиться — на это и расчёт).

Проект ничем не примечателен — набросали с помощью нейросети (привет вайб-кодерам). Но «пасхалка» была в конфиге Tailwind. На 900+ стоке лежала обфусцированная IIFE-функция, которая с помощью ноды (при запуске проекта, разумеется), пытается украсть данные криптокошельков/браузеров/пароли (приложения Passwords, если система определена как MacOS), — рассказал топикстартер.

Далее «мораль» от автора — никогда не стоит «запускать незнакомые проекты вне песочницы и без предварительного аудита, что там вообще в проекте».

Под постом — почти 60 комментариев. И как оказалось — многие сталкивались с подобным.

— В моём случае все было немного хитрее, вредоносный код запрашивался с CDN в виде строки и передавался затем на исполнение в Eval-функцию, — написал один из пользователей.

Два человека поделились, что у них так увели деньги с криптокошельков: у одного — 5000 UDT, у другого 10 ETH, и теперь он «хранит сбережения только на самописном кошельке». У третьего просто украли данные — пока без последствий для него.

Похожие «заминированные» тестовые получали не только разработчики, но и дизайнеры: 

— Присылали мне похожее. Уговаривали: «Ну, разверните проект! Или попросите друзей». Ха-ха, после моего ответа, зачем мне тестовое не по моему стеку и вообще направлению — слились, — написала UX/UI-дизайнер. Подробнее, кстати, девушка рассказывала у себя в линкедине. Тестовое было для разработчиков — и «эйчар» уговаривал её распаковать его, просто чтобы «быть в курсе проекта». 

К своему посту девушка прикрепила ещё один — от пострадавшего разработчика. И история там точь-в-точь как у топикстартера. Пришёл эйчар с заманчивым предложением, затем добавил в Slack и дал тестовое на 60 минут. Разработчик потратил 40 минут на настройку проекта и выполнение миграций, задачи решил за 15 — и очень удивился тому, что они были такими простыми. Лишь после он заметил, что на его компьютере «работают Python-скрипты, которых там быть не должно было». А вывод в своём посте молодой человек сделал похожий: нужно работать на виртуальной машине или использовать контейнеры при работе над тестовыми из неизвестных источников. 

Под постом, кстати, обсуждают и то, кто же так лихо добывает данные разработчиков. Топикстартер называет их «северокорейскими хакерами».

И конечно, пользователи спрашивают, а как удалось обнаружить «бомбу». Он ответил, что всегда с настороженностью подходит к чужим документам и проектам, «не ставит локально» — и всегда сначала проверяет в докере. В данном случае «простейшее ls-lh в корне проекта показало аномалию в размере файла конфига tailwind».

Другой пользователь поделился: он код с архивом в похожем случае «закинул в VirusTotal» на проверку. «Что интересно: через некоторое время я ещё раз закинул — и больше антивирусов стало показывать троян, похоже, мне какой-то самопис отправляли».