当前位置:区块链 >区块链 > 区块链开发者的MetaMask钱包在欺骗性的面试中被清空

区块链开发者的MetaMask钱包在欺骗性的面试中被清空

更新时间:2023-12-30 23:17:35 | 作者:佚名
区块链开发商MuratÇeliktepe分享了一个令人痛心的事件,讲述了一次度假经历,导致他的MetaMask钱包被一个冒充“招聘人员”的人损失了500美元 值得注意的是,Çeliktepe最初是在LinkedIn上以一个真正的网络开发工作机会为借口联系的。 开发者陷入编码工作骗局 在所谓的求职面试中,招聘人员指示Çeliktepe下载并调试两个npm包中的...

区块链开发商MuratÇeliktepe分享了一个令人痛心的事件,讲述了一次度假经历,导致他的MetaMask钱包被一个冒充“招聘人员”的人损失了500美元

值得注意的是,Çeliktepe最初是在LinkedIn上以一个真正的网络开发工作机会为借口联系的。

开发者陷入编码工作骗局

在所谓的求职面试中,招聘人员指示Çeliktepe下载并调试两个npm包中的代码,即“web3_nextjs”和“web3_nextjs_backend”,这两个包都托管在GitHub存储库中。

不幸的是,在遵守指示后不久,开发人员发现他的MetaMask钱包已经耗尽,从他的账户中欺诈提取了500多美元。

Upwork工作清单要求申请人“在网站上修复漏洞和响应能力[原文如此]”,并声称为预计在不到一个月内完成的任务提供15至20美元的时薪。

Çeliktepe对这个机会很感兴趣,他在LinkedIn个人资料图片上醒目地显示了“#OpenToWork”标签,决定接受挑战。他下载了招聘人员在“技术面试”中提供的GitHub存储库

参与技术面试通常包括带回家的练习或概念验证(PoC)任务,包括代码编写或调试等任务。这使得该报价特别有说服力,即使对于开发人员等具有技术专长的个人来说也是如此。

值得注意的是,在上述GitHub存储库[1,2]中发现的应用程序是有效的npm项目,其格式和package.json清单的存在证明了这一点。然而,这些项目似乎没有在npmjs.com上发布,npmjs是JavaScript项目的最大开源注册中心。

社区挺身而出揭开攻击之谜

切利克特佩在社交媒体上分享了自己的不幸经历后,向社区寻求帮助,以了解袭击的机制。尽管他仔细检查了GitHub存储库中的代码,但他仍然不确定破坏MetaMask钱包的方法,因为他没有将钱包恢复短语存储在自己的机器上。

为了回应Çeliktepe的求助,社区团结起来,提供真正的支持和机会主义的加密机器人提供帮助。不幸的是,诈骗账户也出现了,诱使他连接欺诈性的“MetaMask支持”Gmail地址和谷歌表格。

来自社区的见解表明,Çeliktepe执行的npm项目可能允许攻击者部署反向shell,从而可能暴露出开发人员机器上的漏洞。

社区成员提出的其他理论包括,非法npm项目可能从启用了自动填充功能的网络浏览器中复制了密码,而不是用恶意软件感染开发者的机器。

此外,一些人猜测,在“技术面试”期间自愿运行的代码可能拦截了他的网络流量,导致了安全漏洞。

本站提醒:投资有风险,入市须谨慎,本内容不作为投资理财建议。