Lập trình viên sập bẫy lừa đảo tuyển dụng tinh vi: 'Tôi đã buông lỏng cảnh giác và chạy đoạn mã quái quỷ'

Mọi chuyện bắt đầu bằng một tin nhắn trên LinkedIn, giống như vô số các chiêu trò lừa đảo tuyển dụng hiện nay.

Một người tuyển dụng tự xưng là làm việc cho công ty blockchain Genusix Labs đã mời Boris Vujičić, một nhà phát triển web (web developer) đang sinh sống tại Serbia, ứng tuyển cho một vị trí việc làm toàn thời gian từ xa.

Vujičić không phải là người xa lạ gì với các trò lừa đảo tuyển dụng. Ông chia sẻ rằng ông nhận được những tin nhắn như thế này hàng ngày, và kỷ lục cá nhân của ông là tám tin nhắn trong một ngày. Hơn nữa, ông từng làm việc cho Step Finance trước khi sự cố bảo mật và vụ đánh cắp 40 triệu USD tiền điện tử khiến công ty tài chính phi tập trung này phải đóng cửa vào đầu năm nay.

"Đ几乎 như tất cả mọi người tôi biết trong thế giới tiền điện tử và đang tìm kiếm việc làm đều bị nhắm mục tiêu bởi các thủ thuật này," Vujičić cho biết trong một cuộc phỏng vấn.

Thường ngày, ông sẽ phớt lờ những tin nhắn này, hoặc đôi khi trêu chọc người gửi để "lãng phí thời gian của họ và như một thử thách để tìm kiếm nơi họ giấu virus."

Tuy nhiên, lần này thì trông rất hợp pháp. Công ty có hồ sơ LinkedIn và một trang web trông bình thường với hình chân dung của "Đội ngũ lãnh đạo" khớp với những cá nhân đang nhắn tin và phỏng vấn ông. Buổi phỏng vấn đầu tiên với bộ phận Nhân sự - một nhân viên tên là Zam Villalon (có liệt kê và hình ảnh trên trang web của công ty) - là một cuộc gọi Zoom có bật camera, và "trông không giống như một deepfake giá rẻ," Vujičić nói.

"Cảm giác rất tự nhiên, khuôn mặt cô ấy không có vẻ giả mạo, tiếng Anh của cô ấy rất tuyệt, không có gì bất thường," ông nhớ lại.

Vujičić đồng ý đi tiếp vào vòng hai: một buổi phỏng vấn kỹ thuật với hai kỹ sư, trong đó một người cũng có tên và hình ảnh trên trang web. Một lần nữa, buổi phỏng vấn không có gì đáng ngờ, và Vujičić cho biết ông rất thích cuộc trò chuyện. Cả ba thậm chí còn đùa cợt về việc lừa đảo tuyển dụng nhắm vào các lập trình viên và công ty crypto như thế nào.

Cuối buổi phỏng vấn đó, các kỹ sư hỏi liệu họ có thể gửi cho Vujičić một bài kiểm tra mã (coding test) trực tiếp hay không, và ông đồng ý.

"Trước khi chạy, tôi nói rằng tôi sẽ kiểm tra mọi thứ đáng ngờ," ông viết trong một loạt bài đăng trên X chi tiết về trải nghiệm của mình với những kẻ lừa đảo. "Họ cười. 'Hãy thoải mái tìm kiếm cửa sau (backdoors) đi.'"

Những kẻ lừa đảo đã nói với ông: "Kiểm tra mã, đảm bảo nó không đáng ngờ. Bạn có thể chạy nó trong bất kỳ môi trường đám mây nào," Vujičić kể lại. "Họ trấn an tôi - và chúng đã làm rất tốt việc đó - để khiến tôi buông lỏng cảnh giác, và chỉ đơn giản là chạy đoạn mã quái quỷ đó."

Và ông đã thực sự chạy nó. Một cửa sổ bật lên của macOS xuất hiện: "patch[.]sh muốn chạy như một quy trình nền."

Vujičić đã kết thúc buổi phỏng vấn, tắt Wi-Fi và bắt đầu săn lùng đoạn mã độc, mà ông tìm thấy trong một thư mục tạm của trình điều khiển camera trên máy tính, được đặt tên là camdriver[.]sh. "Đoạn script này rất tinh vi và đẹp - tôi thích đoạn mã này," ông nói. "Bất kỳ ai viết đoạn mã này đều là một người rất thông minh."

Cuộc tấn công này, theo ông, "được ẩn giấu bên trong một phụ thuộc của một phụ thuộc (dependency of a dependency)," và một khi ông chạy bài kiểm tra mã giả mạo, một shell script đã âm thầm thực thi trong nền mà không có bất kỳ dấu hiệu nào cho thấy có sự cố.

"Nó kiểm tra kiến trúc CPU của bạn, và sau đó, dựa vào đó, tải xuống virus thích hợp," ông nói thêm rằng mã này tự đặt cấu hình để tự động khởi động mỗi lần máy tính bật lên.

Sau đó, nó tải xuống một cửa sau (backdoor) được viết bằng ngôn ngữ Go sử dụng giao thức mã hóa RC4 tùy chỉnh và bao gồm các lệnh để thực thi shell, đánh cắp tệp, trích xuất mật khẩu Chrome, rút ruột Keychain và nhắm vào ví tiền điện tử (crypto-wallet).

Vujičić đã ngay lập tức dừng tất cả các tập lệnh độc hại đang chạy trên máy của mình và loại bỏ phần mềm độc hại theo cách thủ công, từng tệp một.

Mặc dù vậy, trong thời gian ngắn - tổng cộng 56 giây - mã này chạy trước khi ông ngắt Wi-Fi, những kẻ lừa đảo đã thu thập được 634 mật khẩu Chrome đã lưu, macOS keychain của Vujičić và dữ liệu ví MetaMask của ông. "Mọi mật khẩu đã lưu - ngân hàng, email, GitHub - đều có thể đọc được bởi chúng," Vujičić viết trên X.

Kể từ đó, ông đã thay đổi tất cả mật khẩu của mình và cho biết những tên trộm kỹ thuật số này không đánh cắp bất kỳ tiền crypto nào của ông.

Vujičić nói rằng cảm xúc ban đầu của ông sau khi nhận ra mình bị lừa là xấu hổ. "Tôi tự nghĩ, Tại sao? Tại sao mình lại ngốc nghếch như vậy? Tại sao mình lại làm điều này?"

Ban đầu ông nói với các "kỹ sư" rằng ông không cảm thấy thoải mái khi chạy kho lưu trữ GitHub đó, và ông nói rằng họ đã đề xuất một cách khác để ông thực hiện bài kiểm tra mã, có thể là sử dụng trình chỉnh sửa trực tuyến. "Họ không ép buộc tôi chạy nó," Vujičić nói, và sự không ép buộc đó chính là điều khiến ông cảm thấy đủ an toàn để tin tưởng những kẻ lừa đảo và chạy mã.

Vujičić đã báo cáo kho lưu trữ GitHub giả mạo cho cả npm và GitHub, hồ sơ Genusix cho LinkedIn, tên miền cho nhà cung cấp dịch vụ lưu trữ web HostGator và địa chỉ IP cho AbuseRadar.

Ông cũng chuyển tiếp tất cả nhật ký và bằng chứng cho nhóm phản ứng sự cố tại zeroShadow, người trước đây đã điều tra vụ breach của Step Finance. Vujičić cho biết công ty tình báo blockchain này tin rằng những kẻ tấn công liên quan đến chính phủ Triều Tiên đứng sau cả vụ việc thâm nhập công ty trước đó và vụ lừa đảo tuyển dụng nhắm vào Vujičić. Ông cho biết cả hai đều sử dụng cùng một mã và cùng một chiến thuật.

"Rất đáng sợ," ông nói. "Các trò lừa đảo đang ngày càng trở nên tinh vi hơn. Làm thế nào để không sập bẫy?"

Vujičić đã nhìn thấy sự tiến hóa này. "Điều gì sẽ xảy ra nếu họ phỏng vấn bình thường, không đẩy bất kỳ đường dẫn lừa đảo nào mà tôi cần phải nhấp vào, chúng ta nói về tiền lương, họ gửi cho tôi hợp đồng, họ nói 'hãy làm việc với chúng ta'."

Và khi đó Vujičić - hoặc bất kỳ lập trình viên nào - tin rằng mình đã được tuyển dụng làm nhân viên từ xa, sau đó anh ấy được mời tham gia các kênh Slack hoặc máy chủ Discord của công ty. "Chúng có thể đưa cho tôi tài liệu nhập hội giả, giao nhiệm vụ giả để làm việc, và chèn virus vào trong một hoặc hai ngày."

Và sau đó chúng đánh cắp thông tin đăng nhập của anh ấy, làm cạn ví crypto, nhiễm registries và xâm nhập các đường ống CI/CD của anh ấy, như chúng ta đã thấy trong các cuộc tấn công nhắm vào nhà phát triển gần đây.

Khi nói đến những kẻ lừa đảo tìm cách đánh cắp bí mật của các nhà phát triển và xâm phạm môi trường của họ, Vujičić lo ngại "đó là bước tiếp theo sẽ xảy ra - nếu nó chưa đang diễn ra rồi."