Ваша крипта украдена на собеседовании: Схемы социального инжиниринга в IT

Ссылка на оригинал: https://www.linkedin.com/feed/update/urn:li:activity:7343968895298371586/

Скорее всего, там должно быть ненастоящее окно, которое запрашивает пароль от сид фразы, и уже введя его, ты попадаешь

Возможно, механизм проще, тут надо смотреть глубже

А впринципе это один из самых красивых видов социальной инженерии: ты сам приходишь к мошеннику, в обстановку, которая отвлекает внимание от ловкости рук (ну или кода)

Еще и таргетинг такой хороший: кандидаты, работающие в крипте, хотящие получиать в крипте, крипту и имеют

Ммм просто конфетка, а не схема

Простите, я не всезнайка, просто темы постоянно подбираете)
Пол жизни консалтингом в ИБ занимаюсь так что много всего могу рассказать по теме)
Она не новая, ей уже много лет, обычно такие атаки проводились APT с целью хищения коммерческой и даже секретной информации.
Потом уже, когда отчёты по исследованиям попали в общий доступ, то активизировались и обычные мошенники.
На данный момент схем просто сотни, от простых тестовых если хотите работать у нас и до создание целой истории компании в LinkedIn с сотрудниками и отзывами, и реальных собесов с живыми HR-дропами.

Что касается непосредственно векторов атак, то их за последние 2 года такое разнообразное количество было (отсылки на все supply chain атаки и баги в GitHub найденные за эти).
Самый простой способ это в зависимости подкинуть какой-то пакетик в котором уже скачивается бинарник и запускается от прав пользователя всё что нужно.

Если рассматривать кейс с криптой, то например совсем недавно был пофикшен баг в криптографической либе, которую юзали почти все кошельки децентрализованные, где можно было получить доступ к приватному ключу (если не ошибаюсь там prototype pollution обычный в основе был) или был в самой криптографии реализации баг, что позволяло восстановить приватный ключ.
А ещё есть специальные подтверждения в эфире позволяющие списывать ваши средства когда-то потом. Есть специальные сервисы проверки и отзыва таких подписей.

Краткое саммари, в 21 веке ИБ это уже не какая-то отдельная профессия, это уже необходимость для каждого человека. Без погружения в теорию можно даже не удивляться подобным кейсам.
А даже если и погружаетесь всегда есть социальная инженерия, которая заставит вас неосознанно самому всё отдать злоумышленникам.

https://www.aikido.dev/blog/xrp-supplychain-attack-official-npm-package-infected-with-crypto-stealing-backdoor

https://github.com/advisories/GHSA-vjh7-7g9h-fjfh

https://x.com/trentdotsol/status/1864053347461771321?s=46&t=dHUtDWIEJBzuQmbrGNqNtQ

https://bsky.app/profile/did:plc:zwlpsxw2udovqf4mbfi4ibqf/post/3lcgt6l7s4c2a

Вот из того, что описывал выше детали

В go кстати тоже недавно был подобный случай со скачиванием бинаря

Даже не уверен что это пофиксили или даже смогут

Помню что в Deno или Bun была фишка что при import зависимости ты должен явно прописать что она может делать, а вот в го…

Надо будет почитать

В node нативно добавили фичи флагом пока контроль прав, как в deno

За семью виртуалками есть спокойствие?

В современном мире слишком много способов получить системные права.
Так же существуют схемы побега из песочниц виртуалок

Тогда разделять сами физические машины?

Это будет наиболее эффективно

Спасибо за уделённое время

А вот и свежее по теме подъехало

https://github.com/bitcoinjs/tiny-secp256k1/security/advisories/GHSA-5vhg-9xg4-cv9m

https://github.com/bitcoinjs/tiny-secp256k1/security/advisories/GHSA-7mc2-6phr-23xc