Un programmatore di blockchain ha condiviso una spiacevole esperienza che gli è accaduta durante le festività, dopo essere stato contattato su LinkedIn da un "reclutatore" per un lavoro di sviluppo web.
Murat Çeliktepe, residente ad Antalya e specializzato in sviluppo web e blockchain, è stato contattato su LinkedIn per un lavoro, apparentemente legittimo, su Upwork.
Il reclutatore ha richiesto a Çeliktepe di debuggare due pacchetti npm (abbreviazione di Node Package Manager, è il gestore di pacchetti ufficiale che viene installato con la piattaforma Node) da un repository GitHub come parte del processo di selezione. Poco dopo, lo sviluppatore ha scoperto che il suo portafoglio MetaMask era stato svuotato di oltre 500 dollari.
L'annuncio di lavoro su Upwork prometteva un compenso orario tra i 15 e i 20 dollari per la correzione di bug e l'ottimizzazione di un sito web. Çeliktepe, accettando la sfida, ha scaricato i repository GitHub e ha iniziato il compito, cosa comune in colloqui tecnici legittimi.
Dopo aver seguito le istruzioni, e partecipato a una sessione su Google Meet per discutere la soluzione, lo sviluppatore ha notato una sottrazione dal suo saldo Ethereum. Tra le transazioni condivise, si è notato un pagamento di circa 538 dollari inviato a un altro indirizzo di criptovaluta.
Anche dopo aver esaminato il codice, Çeliktepe non ha compreso appieno come sia avvenuto l'attacco e ha cercato aiuto dalla comunità. Il risultato più frequente è stato il venire contattato da degli account fraudolenti che si sono presentati come il supporto di MetaMask.
Nel marasma di account falsi, alcuni utenti legittimi si sono palesati e hanno offerto diverse teorie sulla modalità dell'attacco: la più meritevole di attenzioni ha ipotizzato che i pacchetti npm abbiano aperto una porta non autorizzata sul computer di Çeliktepe.
Altre ipotesi suggeriscono un possibile furto delle password del browser o un'intercettazione del traffico di rete durante l'esecuzione dei pacchetti.
Altri sviluppatori, infine, hanno confermato di essere stati contattati dallo stesso reclutatore. Il consiglio principale rimane sempre quello di essere vigili nel vagliare le offerte di lavoro di questa tipologia e di svolgere gli esercizi di reclutamento sempre su una macchina separata e dedicata esclusivamente a quello scopo, in modo da evitare qualsivoglia incidente con i propri dati personali.