Tecnología, Internet y juegos
208 meneos
3137 clics

Así es como casi me hackean en una "entrevista de trabajo" [Eng]

Estuve a 30 segundos de ejecutar malware en mi equipo. ¿El vector de ataque? Una entrevista de programación falsa de una empresa de blockchain "legítima". Así fue como una sofisticada estafa casi me atrapa, y por qué todo desarrollador debería leer esto.

| etiquetas: entrevista , credenciales , privilegios , programación , vibe coding
107 101 0 K 317
42 comentarios
107 101 0 K 317
Comentarios destacados:            
TikisMikiss #5 TikisMikiss
Más viejo que el mear en el mundo crypto (y otros).

O bien crean empresas fake que parecen reales (caso de la noticia), o bien suplantan empresas reales (suplantan la identidad del CEO, HR, o quien toque) sin que estas lo sepan. Las ofertas de trabajo son 100% fake, en algunos casos incluso descaradamente fake (con ofertas salariales desorbitadas), que promocionan en tabloides conocidos de ofertas de trabajo de blockchain. Incluso aunque se reporten, esas ofertas pueden seguir esos tablones…   » ver todo el comentario
10 K 104
#8 Abril_2025
#5
Justamente lo que buscan es sobre todo credenciales de crypto wallets etc, por eso la estafa la hacen con ofertas de trabajo en blockchain, porque hay más probabilidades de que el interesado en cuestión, si conoce el tema como para trabajar en él, pueda tener algo de criptomoneda.

Esto justo me estaba preguntando.

Yo de criptomonedas ni papa. Pero contraseñas, accesos a tarjeta... el programador que tenga algo de cabeza lo tiene todo encriptado y con difícil acceso desde el…   » ver todo el comentario
4 K 59
woopi #11 woopi *
#8 Iba a preguntar lo mismo. Por la propia protección de la cartera. ¿Cómo se la saltan? Estoy algo espeso... pero no lo veo. Entiendo que el malware queda residente en tu equipo? Se arreglaría llevando un portátil de trabajo, no? Y una VM exclusiva para esa entrevista? Por decir cosas.
1 K 20
TikisMikiss #23 TikisMikiss
#11 En #_19 Lo comento

"Se arreglaría llevando un portátil de trabajo, no?"

La de gente que usa el portátil de trabajo para estas ofertas xD

Además que da lo mismo, lo que suele ocurrir es que usas el mismo donde tienes el resto de cosas personales. ¿Podrías hacerlo en una VM exclusiva o dockerizar etc? Claro, de hecho el autor del artículo dice que eso es lo que suele hacer, pero llegan prisas, una entrevista que ponen con el tiempo justo y hay que hacer eso antes y además el…   » ver todo el comentario
2 K 35
Bapho #14 Bapho
#8 Mínimo un 2FA que te mande algo al móvil, digo yo.
0 K 11
sorrillo #27 sorrillo
#14 El 2FA suele requerir que se estén usando servicios de custodia de terceros, como Coinbase, para quienes gestionan su propio monedero el 2FA no suele tener sentido.

Sí tiene sentido usar monederos hardware que te piden confirmación por su propia pantalla integrada u otras medidas de seguridad.
1 K 14
#15 boulardii
#8 claves privadas en ficheros .env sin encriptar en local; una mala práctica muy extendida en el sector. El vector de ataque no son tanto los activos (assets/tokens) que posee esa clave privada sino sus credenciales (access control). Me explico, con esa clave privada puedes signar transacciones maliciosas suplantando su rol, manipular la configuración de los contratos de uma dApp a tu favor, etc. El robo de claves privadas (ya sea mediante ingeniería social o hackeo) es la mayor causa de ataques que roban capital.
1 K 16
woopi #18 woopi
#15 OK, gracias... estába dándole vueltas.
0 K 10
TikisMikiss #19 TikisMikiss *
#8 Básicamente ese código te instala un malware con el que ya puedes hacer toda clase de perrerías, acceso al clipper para robar transacciones, transferir cookies y sesiones ya autenticadas y saltarse el MFA, keyloggear la contraseña (cuando la metas para descifrar el vault local que tengas) o incluso scrappear la memoria, en fin, tienen mil métodos. La cosa es que ejecutando ese código estás jodido.

Hay más artículos donde hablan del tema porque ya digo que esto es viejo (estos son recientes,…   » ver todo el comentario
2 K 31
Pacman #35 Pacman
#8 imagina que tienes un cold wallet en papel y que lo has guardado en el pc :ffu:
1 K 22
#2 endy
Blockchain y probabilidad de estafa usualmente van de la mano. Nada raro :troll:
6 K 82
Unregistered #1 Unregistered
TL;DR en el pantallazo adjunto  media
6 K 47
Pacman #3 Pacman *
#1 los caracteres componen la URL donde está el bicho

104, 116, 116, 112, 115, 58, 47, 47, 97, 112, 105, 46, 110, 112, 111, 105,
110, 116, 46, 105, 111, 47, 50, 99, 52, 53, 56, 54, 49, 50, 51, 57, 99, 51,
98, 50, 48, 51, 49, 102, 98, 57

Son ascii.
que astutos :clap:
8 K 79
Pablosky #6 Pablosky
#3 Pues él también, le pregunta a Cursor y le da la respuesta correcta. Ahora sí que podemos decir que realmente una IA ha hecho ahorrar tiempo y dinero a un programador, aunque sea de la manera más inesperada posible.
6 K 62
#7 Grahml
#6 A eso iba.

No sólo la potencial víctima usó IA para detectar la trampa.

Es más que probable que el estafador haya hecho uso también de IA.

De "sofisticado" probablemente no haya nada sabiendo que el scammer ha usado un asistente.
0 K 20
TikisMikiss #16 TikisMikiss
#7 Esta estafa viene de antes de que la IA sirviera de mucho. Es un simple código "oculto" con indentación que no canta si no estás atento y que al ejecutarlo básicamente instala malware.
1 K 19
#20 Grahml *
#16 No digo que no existiera antes.

Pero la sofisticación y aparente legitimidad de la que se asombra la potencial víctima, sabiendo además que se dedica a estas cosas y que puede detectar más fácilmente estas estafas embedidas en códigos (que además debe revisar de arriba a abajo línea por línea), da pistas de que el estafador sí haya usado IA (ya sea para redactar el email, crear la presentación o incluso el código compartido).

Lo cual no quita "mérito" al estafador en su…  media   » ver todo el comentario
1 K 28
TikisMikiss #21 TikisMikiss *
#20 Para la empresa esa fake no sé, pero para el repo lo dudo, ya digo que esto es más viejo que el mear y ya lo vi hace años y era el mismo código y todo. De sofisticado no tiene nada, es simple código "escondido" con muchos espacios para que no se vea a primera vista y que simplemente accede a una URL para instalarte malware y joderte. Juegan con lo que dice el artículo, que el programador no se espera que en una oferta de trabajo haciendo algo que hacen en todas las demás ofertas…   » ver todo el comentario
1 K 18
#22 Grahml *
#21 Bueno, si observas en #7, lo de "sofisticado" no viene de mi impresión, por eso lo pongo entrecomillado.

Porque todo el mundo sabe de la existencia de estos malwares desde hace años también (alguna década que otra).

Lo de sofisticado lo menciono sólo porque el programador mismo lo denomina así:

"If this sophisticated operation is targeting developers at scale, how many have already been compromised? "

Igual para él es la primera vez que ve este tipo de estafas, viendo su asombro.

Pero insisto, siendo el bloguero un profesional del tema y su asombro, es obvio que el estafador ha usado IA para hacer más creíble su estafa.
0 K 20
avalancha971 #39 avalancha971
#20 #16 Tiene que haber existido antes para que la IA pudiera aprenderla.
0 K 10
frg #41 frg
#16 ¿Que no canta? Si lo miras lo ves.
0 K 12
frg #40 frg *
#3 Si miras código y ves algo así sabes que es o ofuscación o un payload desde el segundo 0. Otra cosa es que no lo mires o delegues ...
0 K 12
Jakeukalane #10 Jakeukalane
El consejo se lee más como "no tengas una cryoto wallet". Al menos eso es con lo que me quedo yo
2 K 38
#9 boulardii
Trabajo en el sector, recibo +10 ofertas estafa a la semana, cada vez son más sofisticadas, y por suerte las he esquivado todas.
La experiencia de contratar como empresa/compañía también en es un campo de minas, con muchísimos hackers norcoreanos aplicando para infiltrarse, robar los fondos del proyecto y así financiar al partido. Tal es así que durante el proceso de reclutamiento se exige los aplicantes que insulten a Kim Jong-Un (suena a risa pero funciona).
2 K 27
TikisMikiss #24 TikisMikiss
#9 "Tal es así que durante el proceso de reclutamiento se exige los aplicantes que insulten a Kim Jong-Un (suena a risa pero funciona). "

xD xD xD

¿Y aliarse con los norcoreanos para jakear a VOX o al PP y repartirse los fondos?

El que roba a un ladrón... :troll:
1 K 14
capitan__nemo #36 capitan__nemo *
#9 Eso me recuerda a los casos nexperia y northvolt infiltrando a directivos chinos que o bien sabotean la empresa de la competencia o bien facilitan algun tipo de opa hostil y toma de control.
www.meneame.net/story/china-prohibe-nexperia-exportar-tras-intervencio

Serian como corsarios.
0 K 16
frg #38 frg *
#9 Entonces, ¿el día que insulten a Kim Jong-Un por alguna dispensa del partido estáis perdidos? :-D

No parece un gran método.
1 K 18
#30 solojavi
#29 No me ha quedado fino pero lo he conseguido :-)
1 K 18
frg #31 frg
Linkedin mierda también van de la mano.
1 K 15
hexion #37 hexion *
#0 Gracias por el envío. Ofuscar una página como un bytearray e importar su código es un clásico ya, pero no viene mal recordarlo.
Y sí, nunca corráis código raro en vuestra máquina, lanzar una instancia de un uso en virtualbox lleva unos pocos minutos y evitará disgustos.
1 K 13
apetor #42 apetor
Señores, VMware, o VBox, Parallels,... lo que sea; Y si, hay escapes a las VMs ( ojo a las vulnerabilidades de estos ultimos dias, posibilitan escape de la VM ) pero son muy raras... y luego el tema red... bueno, si podeis tener otra maquina que salga a internet sin acceder a la red local ( la maquina virtual en una DMZ e incluso la maquina donde ejecutais la virtualizacion en una DMZ, ya, mejor ).
1 K 12
#4 solojavi *
Precisamente hoy me han pasado foto de este cartel, un despropósito total pagar 1000€ por algo tan sencillo y además fabricarlo con una raspberryPi.
Visitando la pagina web anunciada vi la palabra mágica y pensé que intentarían contactar con incautos para venderles cryptos, pero viendo esto me hace sospechar algo mucho peor.
No se dónde se insertará la imagen porque es la primera vez que subo una.

No consigo que se vea, la página web a la que apunta es: qpqacademy.com/wp/energy-transfer/
Nota: no es spam, no le recomendaría hacer esto a nadie.
0 K 9
Cyberbob #17 Cyberbob
#4 Perdona pero no entiendo tu comentario ni la web a la que apunta tu link … ¿Qué es eso de las baterías?
0 K 10
#28 solojavi
#17 No consigo subir la imagen, es un cartel en el que ofrecen 1000€ a quien consiga hacer un cargador de baterías programando en python una raspberry pi.
Voy a intentarlo de nuevo.
0 K 9
#12 Tailgunner
Suena a invent pero en menéame cualquier frikada de informáticos va a portada directamente
0 K 7
ahoraquelodices #25 ahoraquelodices *
#12 Tal vez te suena a invent porque no entiendes nada de lo que has leído?
5 K 51
l33 #33 l33
#12 Que a ti no te haya pasado no significa que no sea verdad.
LinkedIn se ha convertido en un campo de tiro para agencias de datos, estafadores y vendedores de humo.
Te lo dice alguien que recibe intentos de estafa cada semana.
0 K 6
prejudice #13 prejudice
La proxima entrevista la hago usando una máquina virtual o un máquina física limpia de datos personales.
Menudo peligro
0 K 7
TikisMikiss #26 TikisMikiss
#13 Es lo que habría que hacer siempre que ejecutes código de "desconocidos", por muy "empresas serias" que parezcan.

El propio autor del artículo dice que es lo que suele hacer siempre, pero...:

"Here's where I almost screwed up: I was running late for our call. Had about 30 minutes to review the code. So I did what lazy developers do - I started poking around the codebase without running it first.

Usually, I sandbox everything. Docker containers. Isolated

…   » ver todo el comentario
0 K 9
Nitros #34 Nitros
Quién tenga seeds de crypto con mas de calderilla en ficheros tirados por su home folder se merece que le roben.
0 K 6

menéame