Fullstack-разработчик из Аргентины Франко Агилера рассказал, как недавно столкнулся с необычным мошенничеством: его попытались развести через job offer на LinkedIn. Собеседник изображал рекрутера какой-то абсолютно нормальной компании, пришёл с прямым предложением работы для Франко, позвал его на интервью — всё шло абсолютно обычно и без каких-либо подвохов.
На техническом интервью Франко попросили загрузить код по ссылке из репозитория, чтобы продемонстрировать решение задачи на стыке бэкенда и фронтенда. Он скачал код и выполнил его на своей машине — тестовый сервер запустился без ошибок.
Тогда Франко заметил, что ни один последующий его запрос не оставляет логов, и стал изучать код. Ответ крылся в самом конце файла, и чтобы добраться до него, нужно было очень сильно промотать страницу вправо, а для начала вообще заметить, что имеется горизонтальная полоса промотки.
В общем, в конце исполненного кода JavaScript ждала ссылка на исполнение ещё одного скрытого скрипта, код которого был специально запутан, чтобы вызывать как можно меньше подозрений.
Но тут уже стало понятно, что это крайне стрёмный скрипт, и после некоторой расшифровки Франко понял, что он пытается собрать некую информацию с компьютера, в том числе данные возможных криптокошельков, хранящихся локально.
Сам Франко убеждён, что не пострадал, хотя я бы не был в этом уверен. Другие эксперты также заметили в скрипте установку Anydesk — утилиты для удалённого доступа и управления компьютером. В общем, злоумышленники могли бы делать с его данными всё, что захотели.
К счастью, они не смогли забрать никакую информацию с моего компьютера, поскольку у меня нет ничего, связанного с криптовалютами, но мне пришлось сменить все свои пароли, так что урок усвоен.
По его словам, позвавшая его на собеседование фирма оказалась фейковой, и найти мошенников нереально. Сам он сообщать о произошедшем в полицию, похоже, не горит желанием, хотя другие комментаторы стараются убедить его, что это единственный способ борьбы со злоумышленниками.
Судя по ответам, случай Франко — не единственный. Не запускайте чужой непроверенный код на своей машине и будьте осторожны.
