«Ніколи не встановлюйте проекти!»: український розробник ледь не став жертвою хакера (ймовірно, північнокорейського)

Senior Frontend Developer Данило Литвак зіткнувся в LinkedIn з хакером, який видавав себе за роботодавця. На щастя, український розробник вчасно виявив у запропонованому йому коді підозрілий функціонал. Ось як сам Данило описує листування з кіберзлочинцем:

«Увага! Щойно мав досвід спілкування з шахраєм. Ніколи не встановлюйте проекти, якою б гарною не була історія чи обіцяний погодинний рейт.

Написав мені пан Richard Goldberg із дуже цікавою пропозицією. По-перше, здивувало те, що він одразу надіслав посилання на проект у GitHub. Я переглянув його, і, здавалося б, встановлювати нічого не потрібно — по коду все виглядало зрозуміло. Проект виглядав так, ніби це завершальне завдання джуна після курсів.

Але я ніколи не встановлюю проекти на основну систему, у яких я не впевнений. Пропозиція дійсно виглядала цікавою. Тож я вирішив перевірити. Виявив дуже цікавий код поза зоною робочої видимості…

Спочатку я зосередився на залежностях, необхідних для проекту. Я порівнював бібліотеки, які були мені знайомі, навіть просто за назвами. Це не зайняло багато часу, але було цікаво. Потім я перевірив скрипти, які виконувалися в package.json, і спочатку нічого не помітив. Однак, переглянувши скрипти вдруге більш уважно, я помітив горизонтальну смугу прокрутки. Роки роботи над версткою сайтів на HTML, особливо для мобільних пристроїв, напевно, натренували моє око помічати смугу прокрутки, яка колись мене так дратувала», — розповів Літвак про шлях виявлення підозрілих елементів.

Після того, як українець написав «роботодавцю», що він не буде встановлювати проект на свій комп’ютер з міркувань безпеки, діалог раптово завершився і хакер перестав виходити на зв’язок. Через деякий час Richard Goldberg отримав бан через скарги користувачів, як у LinkedIn, так і на GitHub.

Нагадаємо, що подібна схема зі встановленням проекту на робочу машину є типовою для північнокорейських хакерів. Зловмисники запрошують розробників на фальшиві співбесіди, щоб під час інтерв’ю змусити їх виконати на своїх комп’ютерах шкідливий код. У підсумку троян шукає в системі ключи та паролі від криптовалютних гаманців та іншу цінну інформацію. В інших випадках шкідливий софт використовує системні потужності для майнінгу криптовалют або участі в ботнеті.