Làm thế nào để nhận diện tin tặc Triều Tiên giả danh ứng tuyển vị trí lập trình viên?
Tuyển chọn TechFlowTuyển chọn TechFlow
Làm thế nào để nhận diện tin tặc Triều Tiên giả danh ứng tuyển vị trí lập trình viên?
Trong thế giới crypto, đâu đâu cũng thấy những con người kỳ lạ mà thú vị...
Chuyên sâu báo cáo Web3Bài viết: TechFlow
Ngày 27 tháng 3, tin xấu từ nền tảng Blast, nền tảng trò chơi Web3 Munchables bị đánh cắp hơn 17.000 ETH, trị giá lên tới 62,5 triệu USD.
Nhà điều tra chuỗi khối ZachXBT cho biết, vụ tấn công Munchables có thể do việc thuê phải hacker Triều Tiên giả danh nhà phát triển. Dư Huyền, người sáng lập SlowMist cũng nói rằng: “Đây là ít nhất vụ thứ hai trong các dự án DeFi mà chúng tôi từng gặp. Các nhà phát triển cốt lõi đã giả danh và nằm vùng rất lâu, giành được sự tin tưởng của toàn bộ đội ngũ, rồi khi thời cơ đến liền ra tay không thương tiếc.”
Khi bạn là người sáng lập một dự án mã hóa, việc phỏng vấn ứng viên nhà phát triển làm việc từ xa, thì khả năng gặp phải hacker Triều Tiên có lẽ cũng không còn quá mới lạ.
Keone, người sáng lập Monad, từng tiết lộ trên X vào năm 2022 rằng họ đã đăng nhiều tin tuyển dụng vị trí nhà phát triển Solidity và nhận được rất nhiều hồ sơ... nhưng họ cho rằng trong số đó có không ít người là người Triều Tiên, đồng thời tổng kết ra một vài đặc điểm chung:
-
Họ dường như thích dùng tên người dùng GitHub kiểu như SuperTalentedDev726 hoặc CryptoKnight415;
-
Họ cũng thường dùng các con số trong email và tên người dùng GitHub, có thể đây là cách theo dõi danh tính của họ khi nộp đơn?
-
Họ còn có xu hướng chọn thân phận người Nhật (có lẽ vì người Hàn dễ bị phát hiện), và thường nói rằng trước đây họ học tại các trường hàng đầu ở Nhật Bản, Hồng Kông hoặc Singapore (Đại học Quốc gia Singapore, Đại học Công nghệ Nanyang, Đại học Hồng Kông, Đại học Khoa học và Công nghệ Hồng Kông);
-
GitHub thường xuyên (mặc dù không phải lúc nào) sao chép kho mã nguồn, họ lấy các dự án hiện có và tạo lại thông điệp commit với tên người dùng của họ;
-
Họ cũng thường dùng nhiều địa chỉ email khác nhau để nộp đơn xin việc nhiều lần;
-
Thời gian có kinh nghiệm với Solidity/EVM quá sớm (ví dụ như từ năm 2015).
Theo thông tin mới nhất, người dùng GitHub Werewolves0493 được cho là hacker Triều Tiên đứng sau cuộc tấn công Munchables, với địa chỉ email trên GitHub là seniordev1225@gmail.com, khá phù hợp với mô tả của Keone, người sáng lập Monad.
Năm 2022, Jonwu, nhân viên của giao thức riêng tư aztecnetwork, cũng từng gặp phải hacker Triều Tiên trong quá trình phỏng vấn và mô tả lại cảnh phỏng vấn trực tuyến như sau – đây là lời kể của anh ấy:
Trước tiên, chúng tôi aztecnetwork đang tuyển dụng, nhận được đơn ứng tuyển “Bobby Sierra - Kỹ sư Solidity” trên @Greenhouse.
Sau khi rà soát nội bộ, hệ thống phân bổ cho tôi một buổi phỏng vấn online.
Tôi quét qua sơ yếu lý lịch.
Tên: Bobby Sierra
Ứng tuyển: Kỹ sư Solidity
Địa điểm: Ontario
Ngôn ngữ: Tiếng Anh và một chút tiếng Trung
Kinh nghiệm: F2pool, trên CV có ghi một vài dự án DAO và NFT.
Ghi nhớ điều này, sẽ liên quan về sau.
Sau đó tôi đọc thư xin việc, mở đầu bằng câu: “Tôi là một kỹ sư blockchain có hơn 6 năm kinh nghiệm phong phú.”
Rồi tiếp theo là một loạt thông tin mơ hồ, thuộc dạng tự quảng cáo chung chung, điều này có thể hiểu được, không phải ai cũng giỏi viết thư xin việc.
Cuối cùng, anh ta viết trong thư: “Thế giới sẽ thấy những thành quả vĩ đại trong tay tôi.”
...
Ngay lập tức tôi nghĩ, thằng cha này nghe giống ác nhân trong phim Bond thật.
Tôi hình dung ra một gã, cánh tay thực tế là một khẩu pháo laser, đôi mắt làm bằng plutonium hay thứ gì đó tương tự.
“Thế giới sẽ thấy những thành quả vĩ đại trong tay tôi” ???
Có ai bình thường nào lại nói kiểu đó không trời?
Rất đáng lo, tôi lập tức kiểm tra Github của anh ta, 12 lần commit trong 12 tháng qua? Đó chẳng phải là “kinh nghiệm phong phú” gì cả.
Hơn nữa, các dự án tham gia dường như rất ngẫu nhiên:
BoredBunnies
PantherSwap
MetaverseDAO
Thôi, tôi tự nhủ, crypto là một lĩnh vực kỳ lạ và thú vị, đầy rẫy những con người kỳ lạ và thú vị! Biết đâu Bobby chỉ là một gã lập dị.
Sau đó, tôi bắt đầu buổi phỏng vấn!
Xin chào, tôi là jon từ Aztec, là Bobby chứ?
"Yes. This is...Bobby Sierra."
Tôi quan sát thấy vài điểm:
Camera của anh ta tắt;
Có hơn 5 người đang nói to phía sau;
Giọng rõ ràng là mang âm hưởng Hàn Quốc;
Tôi hỏi anh ta tại sao ồn ào vậy.
"Ồ, tôi đang ở văn phòng."
WTF, nhưng tại sao lại có thêm 5 người khác đang nói hỗn hợp tiếng Hàn và tiếng Anh?
Bạn có thể hỏi, làm sao tôi biết anh ta là người Hàn?
Hehe, một vài người bạn thân của tôi là người Hàn nên tôi rất quen với giọng Hàn, nhưng đây không phải là giọng Hàn-Mỹ, Hàn-Canada hay bất kỳ người Hàn nào bình thường.
"Bobby" tất nhiên nói tiếng Anh, nhưng không phải kiểu tiếng Anh bình thường: cứng nhắc, trang trọng, đồng thời gần như không thể hiểu nổi.
Vậy nên, "Bobby, hãy tự giới thiệu bản thân đi."
"Tôi, tham gia nhiều dự án phát triển blockchain, phát hành token, nhiều dự án thành công, rất thành công, nhiều kinh nghiệm blockchain, đều đạt kết quả rất tốt. Okay?"
Chúng ta hãy phân tích đơn giản:
1) Phần đầu tiên hoàn toàn là vô nghĩa, chỉ cần điểm này thôi tôi đã muốn hủy buổi phỏng vấn rồi
2) "Okay"
Chính cụm từ "Okay" khiến tôi chắc chắn thằng này là người Hàn. Làm sao tôi biết?
Bởi vì mẹ của người bạn tôi luôn nói mấy câu kiểu này trước khi đưa tôi một bát súp sườn nóng hổi.
"Cái này ngon lắm, ăn khi còn nóng nhé, Okay?"
Bây giờ chuông cảnh báo đã vang lên. Tôi biết gần đây liên tục xảy ra các vụ tấn công của hacker Triều Tiên.
Tôi quyết định đào sâu thêm.
Where are you based, Bobby?
Bobby: "Based?"
Ý là, hiện tại cậu đang ở đâu?
"Ồ, Hồng Kông."
"Hồng Kông? Lần cuối cậu làm việc ở đâu?"
"Ồ, Ateke."
Cái gì vậy?
"Công ty Đức, hay Pháp. Tôi không biết."
Trên CV cậu nói từng làm việc tại F2pool, cậu có thể kể cho tôi về F2pool được không?
"Ừ ừ, chờ chút được không?"
Sau đó anh ta yêu cầu tôi tắt mic trong 5 phút.
Khi Bobby trở lại, dường như đã đổi thành một người hoàn toàn khác.
"Xin chào, bạn vẫn ở đó chứ?"
Vâng, Bobby, tôi vẫn đây.
"Tôi là một kỹ sư blockchain giàu kinh nghiệm, tôi muốn tìm một công việc mới, tôi rất có năng lực, có thể mang lại giá trị cho công ty, hiện tại tôi đang tìm kiếm vị trí kỹ sư. Okay?"
Dù đúng hay sai, tôi cũng đã ngắt máy.
Chúng tôi biết rằng các hacker Triều Tiên như nhóm Lazarus đang tấn công các giao thức lớn và cá nhân.
Ronin bị mất 600 triệu đô la; Arthur0x, Mgnr và vô số tài khoản nổi tiếng khác bị tấn công.
Tôi không biết phương thức tấn công là gì.
-
Tải xuống một file .docx bị nhiễm từ CV?
-
Yêu cầu chia sẻ màn hình và điều hướng đến Metamask?
-
Lấy quyền truy cập vào kho mã của chúng tôi và đẩy một sửa đổi độc hại?
Tôi để cộng đồng mạng đoán.
Thực ra, tôi không biết liệu những người này có phải hacker Triều Tiên hay không. Bobby có thể chỉ là một kẻ vô cùng kém cỏi, nhưng mọi giác quan trong tôi đều nói rằng không phải vậy.
Ngoài nỗi sợ hãi và cảm giác giải trí, tôi học được rất nhiều từ tương tác kỳ lạ này.
1) Toàn bộ thế giới của chúng ta được xây dựng trên niềm tin. Nếu ai đó cho chúng tôi xem CV và GitHub của họ, chúng tôi sẽ tin.
-
Rủi ro từ hợp đồng thông minh bị thổi phồng, mọi thứ đều có thể trở thành phương tiện tấn công: tuyển dụng, sự kiện, du lịch, v.v.
-
Không tùy tiện tải tệp đính kèm, giữ ví của bạn tách biệt trên một thiết bị riêng biệt, v.v.
Sau đó, "Bobby" cập nhật GitHub của anh ta, giờ trỏ đến một tài khoản hoàn toàn mới, với nhiều commit mã hơn.
Tôi tin rằng những người này đang học hỏi, thích nghi và trở nên thông minh hơn.
May mắn thay, họ không thể che giấu được mức độ tách biệt và vô năng đến mức nào.
Chúng ta chỉ cần tỉnh táo.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
深潮TechFlow
