Uma porta dos fundos em uma oferta de emprego no LinkedIn

Padrão de ataque e prevalência

  • Muitos comentaristas relatam golpes quase idênticos: “recrutadores” do LinkedIn (e às vezes Upwork/e-mail) para vagas em crypto/web3 enviando repositórios ou “clientes VPN” e pressionando candidatos a executar código localmente.
  • As táticas incluem: repositórios de PoC quebrados, “por favor corrija módulos obsoletos / instalação quebrada”, scripts falsos de download de VPN e projetos que solicitam conexões de carteira ou auto-scripts no IDE.
  • Vários observam que isso agora é comum, especialmente em torno de crypto e jogos, e que mira especificamente desenvolvedores e mantenedores que podem ter credenciais ou acesso à cadeia de suprimentos.

Vetor técnico e riscos de npm/cadeia de suprimentos

  • Vetor central: scripts maliciosos de ciclo de vida do npm (prepare etc.) que rodam em npm install, oferecendo execução remota de código e exfiltração/persistência de dados.
  • Alguns argumentam que isso é uma falha de design do npm; outros dizem que qualquer sistema de build/teste pode executar código arbitrário, e que o npm é apenas o mais popular e com maior rotatividade.
  • Discussão sobre os “defaults mais seguros” do npm v12 e o trade-off entre quebrar fluxos de trabalho e reduzir a superfície de ataque.
  • Agentes de LLM que executam automaticamente npm install em repositórios são apontados como um novo amplificador de risco.

Comportamento da plataforma: LinkedIn, GitHub, Microsoft

  • Vários relatos dizem que repositórios maliciosos e contas falsas de recrutadores permaneceram ativos após denúncia; remoções são lentas ou inexistentes.
  • O LinkedIn é criticado por: verificação de identidade fraca, nenhuma forma de empresas desautorizarem funcionários falsos, má resposta a abuso e um volume crescente de golpes e conteúdo de vagas de baixa qualidade.
  • O tratamento do GitHub a repositórios maliciosos é visto como lento; alguns sugerem que, ironicamente, o DMCA é mais eficaz do que os relatórios de abuso.

Aplicação da lei e “cyber 911”

  • O consenso é que isso é claramente criminoso, mas a aplicação prática da lei é rara, especialmente quando os atacantes estão em jurisdições não cooperativas.
  • Debate sobre um “cyber 911” global ou nacional para resposta coordenada, versus ceticismo sobre financiamento, abuso e excesso de alcance governamental.
  • Recursos dos EUA como FBI/IC3 são mencionados; as experiências vão de “inútil” a ocasionalmente útil.

Impacto sobre desenvolvedores e práticas defensivas

  • O mercado de trabalho duro e a desesperação tornam as pessoas mais propensas a ignorar sinais de alerta; alguns contam ter quase caído nesses golpes.
  • Defesas sugeridas: nunca execute repositórios não confiáveis na sua máquina principal; use VMs/VPS descartáveis; leia primeiro os scripts de instalação/teste; recuse-se a executar código como parte de uma “entrevista” não filtrada.
  • Alguns defendem minimizar dependências e gerenciadores de pacotes, ou escanear e isolar toda a tooling de desenvolvimento — “antivírus para desenvolvedores”.