Uma porta dos fundos em uma oferta de emprego no LinkedIn
Padrão de ataque e prevalência
- Muitos comentaristas relatam golpes quase idênticos: “recrutadores” do LinkedIn (e às vezes Upwork/e-mail) para vagas em crypto/web3 enviando repositórios ou “clientes VPN” e pressionando candidatos a executar código localmente.
- As táticas incluem: repositórios de PoC quebrados, “por favor corrija módulos obsoletos / instalação quebrada”, scripts falsos de download de VPN e projetos que solicitam conexões de carteira ou auto-scripts no IDE.
- Vários observam que isso agora é comum, especialmente em torno de crypto e jogos, e que mira especificamente desenvolvedores e mantenedores que podem ter credenciais ou acesso à cadeia de suprimentos.
Vetor técnico e riscos de npm/cadeia de suprimentos
- Vetor central: scripts maliciosos de ciclo de vida do npm (
prepareetc.) que rodam emnpm install, oferecendo execução remota de código e exfiltração/persistência de dados. - Alguns argumentam que isso é uma falha de design do npm; outros dizem que qualquer sistema de build/teste pode executar código arbitrário, e que o npm é apenas o mais popular e com maior rotatividade.
- Discussão sobre os “defaults mais seguros” do npm v12 e o trade-off entre quebrar fluxos de trabalho e reduzir a superfície de ataque.
- Agentes de LLM que executam automaticamente
npm installem repositórios são apontados como um novo amplificador de risco.
Comportamento da plataforma: LinkedIn, GitHub, Microsoft
- Vários relatos dizem que repositórios maliciosos e contas falsas de recrutadores permaneceram ativos após denúncia; remoções são lentas ou inexistentes.
- O LinkedIn é criticado por: verificação de identidade fraca, nenhuma forma de empresas desautorizarem funcionários falsos, má resposta a abuso e um volume crescente de golpes e conteúdo de vagas de baixa qualidade.
- O tratamento do GitHub a repositórios maliciosos é visto como lento; alguns sugerem que, ironicamente, o DMCA é mais eficaz do que os relatórios de abuso.
Aplicação da lei e “cyber 911”
- O consenso é que isso é claramente criminoso, mas a aplicação prática da lei é rara, especialmente quando os atacantes estão em jurisdições não cooperativas.
- Debate sobre um “cyber 911” global ou nacional para resposta coordenada, versus ceticismo sobre financiamento, abuso e excesso de alcance governamental.
- Recursos dos EUA como FBI/IC3 são mencionados; as experiências vão de “inútil” a ocasionalmente útil.
Impacto sobre desenvolvedores e práticas defensivas
- O mercado de trabalho duro e a desesperação tornam as pessoas mais propensas a ignorar sinais de alerta; alguns contam ter quase caído nesses golpes.
- Defesas sugeridas: nunca execute repositórios não confiáveis na sua máquina principal; use VMs/VPS descartáveis; leia primeiro os scripts de instalação/teste; recuse-se a executar código como parte de uma “entrevista” não filtrada.
- Alguns defendem minimizar dependências e gerenciadores de pacotes, ou escanear e isolar toda a tooling de desenvolvimento — “antivírus para desenvolvedores”.