Código Malicioso Escondido em Entrevista de Emprego: Desenvolvedores Web3 Alvo de Fraude de Implantação no GitHub

Pesquisadores de segurança da SlowMist descobriram um esquema sofisticado onde golpistas, a impersonar uma equipa Web3 sediada na Ucrânia, usam entrevistas de emprego falsas como disfarce para distribuir repositórios de código comprometidos. Num incidente recente, um programador foi solicitado a executar localmente código de um repositório GitHub durante o processo de entrevista — um pedido que poderia ter sido catastrófico.

O Mecanismo do Ataque: O que Acontece nos Bastidores

Após a execução, o repositório aparentemente legítimo lança um ataque em múltiplas fases. A carga útil de backdoor instala silenciosamente dependências maliciosas, transformando o ambiente de desenvolvimento da vítima numa porta de entrada para roubo de dados. O malware direciona-se especificamente a:

• Dados de Armazenamento do Navegador: extensões Chrome e caches do navegador contendo ficheiros de configuração sensíveis
• Credenciais de Carteira: chaves privadas, frases-semente e padrões de criação mnemónica armazenados localmente
• Tokens de Autenticação: dados de sessão e credenciais API que podem conceder aos atacantes acesso às contas dos utilizadores

Uma vez recolhidos, todas as informações roubadas são exfiltradas para o servidor de comando e controlo do atacante, dando aos agentes maliciosos controlo total sobre os ativos digitais e contas da vítima.

Porque Funciona Este Tipo de Ataque

A entrevista de recrutamento cria uma falsa sensação de legitimidade. Os programadores sentem-se motivados a demonstrar as suas capacidades e a provar o seu valor a um potencial empregador. Ao solicitar a execução de código como parte de uma “avaliação técnica”, os atacantes exploram esta dinâmica psicológica. Os alvos são tipicamente programadores experientes — exatamente as pessoas que gerem frases mnemónicas e detêm quantidades significativas de criptomoedas.

Medidas de Defesa Críticas

Nunca execute código de fontes não verificadas, independentemente do contexto ou da pressão social. Antes de executar qualquer repositório:

• Verifique de forma independente o site oficial da organização e o perfil LinkedIn
• Solicite entrevistas apenas através de canais de recrutamento estabelecidos
• Audite o código localmente sem executá-lo inicialmente
• Use máquinas virtuais isoladas para testar código desconhecido
• Mantenha uma separação rigorosa entre o seu ambiente de desenvolvimento e as carteiras que armazenam chaves sensíveis

Este incidente exemplifica como a engenharia social combinada com exploração técnica continua a ser um dos vetores de ataque mais eficazes no Web3. Manter-se cauteloso e implementar estes passos de verificação pode evitar perdas devastadoras.