Cú lừa 'việc nhẹ lương cao' trên LinkedIn và cái kết suýt toang vì backdoor

Đang thất nghiệp đói mốc mỏ mà tự dưng có HR xinh tươi, profile xịn xò con bò nhắn tin mời job lương ngàn đô trên LinkedIn? Khoan vội mở champagne ăn mừng hay vác CV đi khè oai với gấu, coi chừng bay luôn cả cái ví crypto lẫn private key SSH đấy anh em ạ.

Hôm nay, hãy cùng tôi ngồi trà đá, hóng hớt một vụ án mạng an ninh mạng cực kỳ ảo ma mà nạn nhân suýt chút nữa là một thanh niên dev ngây thơ. Câu chuyện bắt đầu từ một lời mời chào ngon ngọt trên LinkedIn và kết thúc bằng một quả backdoor (cửa sau) được cài cắm vô cùng ma giáo.

Kịch bản úp sọt tinh vi: Khi HR hóa hacker

Mọi chuyện bắt đầu khi anh bạn Roman (tác giả bài gốc) nhận được một lời mời phỏng vấn cực kỳ hấp dẫn từ một "nhà tuyển dụng" trên LinkedIn. Kịch bản quen thuộc: công ty xịn, dự án hot, lương thưởng thì ngập mặn. Sau vài câu chém gió xã giao để tạo lòng tin, HR gửi cho Roman một tệp tin nén, bảo là "bài test code" hoặc "tài liệu dự án" để chuẩn bị phỏng vấn.

Đến đoạn này, nhiều anh em dev nhà mình chắc mẩm: "Ôi dào, tải về build chạy thử xem có gì hot". Nhưng với dòng máu cảnh giác của một dev già đời, Roman đã ngửi thấy mùi mắm tôm đâu đây. Thay vì bấm đúp chuột chạy thẳng, thanh niên này quyết định mổ xẻ file đó ra xem bên trong chứa bùa ngải gì.

Và bùm! Một quả backdoor được ngụy trang vô cùng tinh vi lộ diện. Kẻ gian đã cài cắm mã độc vào ngay trong các script khởi chạy của dự án. Chỉ cần anh em gõ lệnh cài đặt dependencies (như npm install hay run một script setup nào đó), đoạn code ma giáo này sẽ tự động kích hoạt. Nhiệm vụ của nó là âm thầm chọc thủng hệ thống phòng thủ, thu thập hết thông tin nhạy cảm từ biến môi trường (.env), private key SSH, cho đến cookie trình duyệt, rồi lặng lẽ gửi về máy chủ của hacker.

Giang cư mận và các đạo hữu hệ bảo mật nói gì?

Vụ này sau khi lên sóng Hacker News đã lập tức leo top trending với hơn 1000 điểm. Dân tình bàn tán xôn xao, chia phe phân tích vô cùng xôm tụ:

• Phe "Không ngờ tới": Nhiều anh em thừa nhận chiêu này quá hiểm. Bình thường đi phỏng vấn việc test code là chuyện cơm bữa, mấy ai đề phòng một cái repo hay file test từ HR. "Bọn hacker giờ đầu tư vãi, dựng cả profile LinkedIn như thật, nói chuyện chuyên nghiệp để lừa mình chạy code," một dev cay đắng chia sẻ.
• Phe "Pháp sư thực chiến": Các lão quái trong ngành thì đưa ra lời khuyên thiết thực hơn. Để an toàn, tuyệt đối không chạy code phỏng vấn trực tiếp trên máy local dùng để làm việc hằng ngày. Muốn test thì cứ ném lên Docker, hoặc thuê một con cloud vps rẻ bèo để chạy sandbox, có toang thì xóa đi cài lại, đỡ phải khóc hận.
• Phe "Thuyết âm mưu": Một số đạo hữu còn chỉ ra rằng, mục tiêu chính của những vụ lừa đảo này không chỉ là phá hoại, mà là nhắm thẳng vào các ví crypto hoặc tài khoản chứa mã nguồn của các dự án lớn mà dev đó đang tham gia.

Bài học sinh tồn cho anh em dev

Tóm cái váy lại, thời buổi đói kém, lừa đảo công nghệ cao nó tiến hóa lên tầm cao mới rồi. Không còn là mấy cái email spam trúng thưởng Vietlott ngớ ngẩn nữa, giờ chúng nó nhắm thẳng vào nỗi đau "thèm job" của dev.

Để giữ cần câu cơm và không phải đi cài lại Win/macOS trong nước mắt, anh em nhớ nằm lòng mấy nguyên tắc này:

1. Đừng tin ai sái cổ: HR có xinh đến mấy, profile LinkedIn có tick xanh hay lịch sử hoành tráng đến đâu thì tệp tin họ gửi vẫn phải nghi ngờ trước tiên.
2. Sandbox là chân ái: Mọi bài test code lạ, repo Github không rõ nguồn gốc, hãy chạy nó trong môi trường cách ly (Virtual Machine, Docker, hoặc một chiếc máy chủ thử nghiệm).
3. Quản lý key cẩn thận: Đừng bao giờ lưu private key, mật khẩu, hay thông tin ví crypto hớ hênh trong các file text ở thư mục dễ quét.

Chúc anh em săn job an toàn, không dính bẫy ngầm!

Nguồn tham khảo

Chi tiết màn phân tích kỹ thuật quả backdoor này anh em có thể xem tại: roman.pt