Les développeurs se méfient des faux recruteurs sur linkedIn ou The Legend of John (Jack) Hemm

L'Approche...enchanté

Au moment où j'ai reçu un message de John (Jack) Hemm, j'ai su que quelque chose n'allait pas. Il prétendait être PDG d’une entreprise indépendante, ce qui, à ma connaissance, est impossible car une entreprise est une entité juridique distincte. À moins, bien sûr, que cette entreprise ait acquis une certaine sensibilité, déclaré son indépendance, commencé à organiser des réunions dans des cafés et commencé à réseauter sur LinkedIn.

La photo de profil avait également l'air un peu décalée, un peu comme le colonel Sanders en magicien étrange (ou peut-être le méchant dans un film de kung-fu étrange des années 80) mais générée par l'IA ? sans parler du fait qu'il prétendait être un défenseur public tout en étant simultanément PDG d'une entreprise indépendante développant une application de chatbot utilisant OpenAI. Pour ajouter à la confusion, sa frappe était si bâclée que je me suis demandé s'il était analphabète ou s'il jouait frénétiquement avec un jeu de magie de Paul Daniels tout en essayant de m'arnaquer.

Pouvez-vous voir l'apparence d'une supercherie cachée, la pure sournoiserie ?

Voici le premier message :

Salut Michael,

Je m'appelle John et je suis PDG d'une entreprise indépendante.

Actuellement, nous allons mettre à jour l’interface utilisateur de notre application chatbot IA.

J'aimerais discuter avec vous car j'ai examiné votre profil et je pense que vous seriez un bon candidat pour ce poste.

La période de collaboration est actuellement de 3 mois et nous sommes prêts à payer entre 80 et 100 $ de l'heure.

Si vous recherchez une nouvelle opportunité, discutons-en davantage.

Meilleures salutations,

Jean.

Qu'est-ce qu'il aimerait faire de moi ? Je pense qu'il a commencé avec « arnaque » en tête, puis est passé au « travail », mais ensuite un problème moral dans son cerveau lui a fait perdre complètement le mot. J'étais intrigué, alors j'ai décidé de jouer le jeu juste pour voir si je pouvais démêler ce mystère.

L'intrigue s'épaissit

J'ai répondu pour exprimer mon intérêt, et il m'a proposé d'accéder à leur référentiel pour exécuter le code et vérifier l'avancement du projet. Il m'a également envoyé un lien Calendly pour réserver un appel.

Enquêter sur le code

À ce stade, j'étais simplement intéressé de voir si je pouvais identifier le code malveillant, et ce que j'ai fini par trouver était assez intrigant.

Il ne m'a pas fallu longtemps pour parcourir rapidement certains des principaux fichiers et, notamment, les points d'entrée de l'application lorsque j'ai trouvé ceci :

Le script de démarrage a été utilisé avec l'opérateur pipe, ce qui semble inhabituel. L'opérateur pipe dirige généralement la sortie d'une commande vers une autre, mais cela n'a pas de sens ici, car la commande test génère une sortie qui n'est pas utilisable par le script de démarrage. Cela suggère que quelque chose de spécifique se produit dans le script de test et qu'ils souhaitent déclencher pendant le processus de démarrage. De plus, l'inclusion de --openssl-legacy-provider pourrait indiquer une tentative de contourner des politiques cryptographiques plus strictes, qui pourraient également être exploitées pour affaiblir la sécurité ou introduire des vulnérabilités.

Alors sur gitHub, j'ai jeté un œil au fichier de test et j'ai vu ceci :

À première vue, il ne se passe rien ici, juste une fonction de rendu qui enregistre quelque chose sur la console, mais une absence de tests... alors pourquoi est-il si important de l'exécuter au démarrage ?

hmmm, quelque chose ne semble pas tout à fait normal, alors j'ai cliqué sur afficher le code brut et j'ai ensuite vu ceci :

loooooooooooooooool
Bingo un tas de code obscurci, le fichier doit contenir du javaScript qui modifie ce que vous voyez lors de sa visualisation dans l'interface utilisateur de GitHubs.

Je l'ai jeté dans un Deobfuscator comme ceci :

Et puis j'ai vu le code malveillant, qui est un casse-tête absolu à lire, alors je l'ai simplement jeté dans chatGPT pour le déchiffrer et voici ce qu'il a trouvé :

Observations clés :

1. Obfuscation :
   • Le code utilise des noms de variables et une logique fortement obscurcis, ce qui rend difficile la lecture directe.
   • Des fonctions telles que _0x40b9, _0x37be et _0x3f8d69 sont probablement conçues pour décoder ou remapper d'autres parties du script.
2. Comportement :
   • Le script collecte des données sensibles de la machine hôte, telles que :
   • Données du navigateur : il analyse les répertoires liés à Chrome, Brave et d'autres navigateurs à la recherche de profils et de données de connexion.
   • Informations système : lit les noms d'hôtes, les plates-formes, les répertoires personnels, les répertoires temporaires et les trousseaux système.
   • Les fichiers sont téléchargés sur un serveur distant à l'adresse http://185.153.182.241:1224.
3. Intention malveillante potentielle :
   • Le script accède aux répertoires sensibles (~/AppData, ~/.config, ~/Library, etc.).
   • Tentatives de lecture et d'envoi d'extensions de navigateur et de données stockées à un point de terminaison distant.
   • Récupère et exécute le code d'un serveur distant (/client/106/314 et /pdown).
4. Indicateurs de compromis :
   • Crée et exécute des fichiers dans des répertoires tels que /.pyp/, /.sysinfo et .config/solana/id.json.
   • Réessaye continuellement des actions via des boucles et des intervalles (par exemple, setInterval toutes les 20 secondes et 300 secondes).
5. Exécution :
   • Génère des sous-processus via child_process.exec, tels que l'extraction de fichiers ou l'exécution de scripts Python.

Ce script est presque certainement un malware conçu pour voler des données sensibles et exécuter des charges utiles malveillantes supplémentaires. Il cible plusieurs plates-formes (Windows, Linux et macOS) et navigateurs, exfiltrant les données vers un serveur distant.

Les risques

Voici le pire de ce qui pourrait arriver si vous exécutez un script comme celui-ci -

• Vol de données :
  • Vol de fichiers sensibles tels que les informations d'identification du navigateur, les données du portefeuille de crypto-monnaie et les fichiers de configuration du système.
• Compromission du système :
  • Exécution à distance de charges utiles malveillantes supplémentaires (par exemple, ransomwares, logiciels espions ou portes dérobées), donnant à l'attaquant un contrôle supplémentaire sur votre système.
• Perte financière :
  • Un accès non autorisé aux portefeuilles de crypto-monnaie ou aux informations d'identification financières stockées pourrait entraîner le vol de fonds.
• Vol d'identité :
  • Les données personnelles exfiltrées de votre système pourraient être utilisées à des fins d'usurpation d'identité ou vendues sur le dark web.
• Instabilité et dysfonctionnement du système :
  • Les mécanismes de persistance du malware et les modifications apportées aux fichiers ou aux paramètres du système pourraient provoquer une instabilité, des ralentissements ou des plantages.

Au revoir grossier... et résidus paranoïaques

Après l'avoir pris en flagrant délit, j'ai envoyé le message suivant sur LinkedIn :

Salut John,

J'ai exécuté le code que vous m'avez envoyé. Immédiatement, mon écran s'est rempli de ce qui ressemblait à des hiéroglyphes, et maintenant mon réseau Wi-Fi s'appelle « Capybara Uprising HQ ».

Quelques instants plus tard, une bande de capybaras s'est présentée à ma porte, vêtus de petits gilets et de chapeaux, exigeant que j'en nomme un comme mon « directeur des collations ». Depuis, ils ont investi mon salon et l’ont transformé en un petit poste de commande. Comment puis-je procéder avec les prochaines étapes ?

À ce moment-là, j'ai reçu un point d'interrogation et son compte a semblé se terminer automatiquement, il m'a bloqué et je les ai signalés sur LinkedIn et GitHub.

J'ai fait quelques recherches, et il s'avère que l'avocat est réel. Soit quelqu'un se fait passer pour lui, ils ont créé ce site pour paraître légitime, soit John – ou Jack, ou quel que soit son nom – canalise une chute à la manière de Better Call Saul et se lance dans des activités néfastes.

Criez si vous avez besoin d'un défenseur public.
https://www.dunganattorney.com/attorney/hemm-john-e-jack/
(lien non affilié)

Quoi qu'il en soit, la morale de l'histoire est...

Si vous dites John Jack Hemm 20 fois dans le miroir dans le noir, apparemment, il apparaît derrière vous avec une petite tête de Paul Daniels qui sort de son cou comme un monstre de la chose (il est aussi foutu, donc vous pouvez' ne s'échappe pas), il essaie de faire un tour de magie étrange qui échoue, puis branche Github dans votre cerveau et télécharge chaque référentiel..... Non.

Non, sérieusement, il y a beaucoup d'escrocs, surtout sur LinkedIn, et je suppose que certains d'entre eux seront beaucoup plus sophistiqués que celui-ci, alors soyez prudent.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!