В LinkedIn участились случаи рассылки тестовых заданий с вредоносным кодом.
Один из фронтенд-разработчиков рассказал, как получил приглашение на собеседование и задание — найти и исправить ошибки в коде проекта.
На выполнение дали 30 минут, якобы для проверки скорости.
Проект выглядел примитивно, но в конфигурационном файле Tailwind оказался скрытый JavaScript-код.
Это была IIFE-функция (немедленно вызываемое функциональное выражение), написанная с обфускацией, которая при запуске проекта через Node.js собирала данные криптокошельков, браузеров и приложений вроде Passwords в macOS.
Некоторые разработчики сообщили, что из-за таких тестовых у них похитили криптовалюту.
Один потерял 5000 UDT (Unidef), другой — 10 ETH. Третий вовремя заметил нелегитимную активность Python-скриптов на своём компьютере и остановил процесс.
Подобные задания рассылаются не только программистам, но и дизайнерам.
Одному UX/UI-специалисту предложили «ознакомиться с проектом» не по её направлению, уговаривая развернуть подозрительный архив. После отказа контакт прекратился.
Также используются внешние библиотеки (CDN) и функции вроде eval(), через которые загружается вредоносный код.
Разработчики советуют проверять файлы через антивирусные сервисы, например VirusTotal, и запускать подозрительные проекты в изолированной среде — контейнерах или виртуальной машине.
Некоторые считают, что за этим стоят северокорейские хакерские группы. Один из пострадавших заметил подозрительные иероглифы в Slack-канале, куда его пригласили после «собеседования».
Что такое IIFE-функция
Это функция JavaScript, которая запускается сразу после объявления. Используется для создания изолированной области видимости, но может применяться для сокрытия вредоносного кода.
Что такое Tailwind config
Конфигурационный файл фреймворка Tailwind CSS. В нём задаются параметры кастомизации стилей. Именно в такой файл злоумышленники часто прячут вредоносные скрипты, зная, что его редко проверяют вручную.