На LinkedIn мне, как, думаю, и многим из вас, часто пишут. Чаще всего, это бывают либо рекрутеры низшего уровня, которые особо не вдаются в детали моей специализации и спамят просто "на удачу". Либо, это те, кто пытается предложить мне услуги, которые, ха-ха, я и сам предоставляю (всяческое R&D).
Первым делом, эти ребята, конечно, просят добавить их в контакты. Чаще всего, я на это никак не реагирую, чтобы не тратить время. Но иногда, я захожу глянуть профиль, особенно, если указано, что это, возможно, мой настоящий коллега-разработчик или какой-то иной живой человек. В этот раз, мне написал некий Гильермо, из Бразилии. В профиле написано - DevOps, а девопсов я уважаю, поэтому и жамкнул на "добавить в контакты".
Что было дальше
Через пару дней после добавления, Гильермо мне пишет, мол у нас тут супер-пупер проект крипто-покер-платформы, и нам нужен технический руководитель, за много-много тысяч денег, а мой профиль им очень понравился. Говорит, что они даже сходили на мой сайт, не побрезговали, и остались в восторге от увиденного. Уже очень подозрительно. Нет, я, конечно, горжусь нашим сайтом, но ни за что не поверю, что кто-то его посещает по своей воле.
Тем временем, Гильермо мне рассказывает про свой проект всяческие подробности, дает ссылки, включая страницу с описанием зарплатных вилок (ага, так я и поверил) и даже макеты их "будущего продукта" в Figma. Ну, думаю, ваша открытость ребята, а точнее, уровень подготовки для "прогрева" - достойны всяческого восхищения. То есть, так не бывает. Но от того мне становится все любопытнее. Думаю, на это у них и расчет.
И вот, мне предлагают выбрать удобную дату для созвона в Google Meet. Я выбираю, и мне на почту приходит подтверждение, но от другого чувака, с которым в LinkedIn я не общался. На этот раз, это некий Демиан. Разумный человек тут сразу задастся вопросом: а почему ты, Демиан, сразу не писал мне лично? Ну ладно, думаю, давай созвонимся, послушаем как бразильцы говорят по английски.
К звонку я готовился. С одной стороны - лишний опыт самопрезентации никогда не повредит, а с другой - на той стороне тоже должны почувствовать мою "подготовку". Ну и, вдруг, мне, действительно, хотят платить много денег? Ведь я этого, действительно, достоин!
На встречу Демиан не явился и я уж было подумал, что это конец истории, но мне предложили перенести созвон на попозже. Перенесли, связываемся. Дэмиан рябит и квакает, жалуется что у него плохая связь и просит выключить видео с камеры. Нда, что-то все выглядит все хуже и хуже. Все это создает какую-то лишнюю нервозность и явно рассчитано на то, чтобы жертва соображала чуть менее ясно. "Интервьюер" просит рассказать о себе, но явно торопится и часто перебивает, говоря при этом, что они уже сами все это успели прочитать в моем профиле и на сайте. В итоге, он радостно заявляет, что ты нам, мол, очевидно, подходишь и давай я лучше тебе подробнее расскажу о нашем проекте, и даже покажу все в действии. Английский у Демиана, кстати говоря, ужасный, что никак не вяжется с необходимостью проводить интервью.
Ну и вот она, наша кульминация: Демиан просит ссылку на мой профиль на GitHub и дает мне доступ к их репозиторию. Заходи, говорит, со своего компа, расшаривай экран, клонируй репу, жамкай npm install... Я отвечаю: - не, лучше ты. Он: - я не могу, я с телефона. Я отвечаю: - я тоже не могу, без проверки безопасности я на свой рабочий комп чужой код никак пустить не могу. Только в изолированный контейнер какой-нибудь и то с кучей оговорок. Он отвечает: респект, понимаю, проверяй конечно, эту свою безопасность. Я объясняю, что аудит безопасности штука небыстрая, и это точно никак не возможно сделать во время созвона. Демиан, сперва, включает дурака, говорит что-то типа: ничего-ничего, я подожду, но потом до него доходит, что рыба сорвалась и особого смысла в дальнейших препирательствах нет. Говорит, что ждет от меня сигнала, и когда я все проверю - он будет договариваться с CTO о нашем дальнейшем общем созвоне. На этом, собственно, все.
Немного дополнительных деталей и "красных флагов"
Слишком высокая зарплата для указанной позиции
Слишком легко делятся информацией, которая, в нормальных условиях, считается конфиденциальной и всегда следует только за подписанием соглашения о неразглашении
Пускают кого попало в свой "рабочий" репозиторий
Репа весит более 10-ти мегабайт, без!!! папки node_modules. С таким объемом кода искать вектор атаки забесплатно - вообще не хочется. Можно было бы перебрать все файлы с помощью ИИ - как вариант, для начала...
При этом, в package.json - минимум зависимостей, как у самого простого прототипа. И конечно же, ничего опасного на первый взгляд.
В репозитории история на 23 вялых коммита, что никак не похоже на активную разработку
В организации на GitHub нет публичных профилей членов организации
Нет вообще никаких ссылок на профили разработчиков или каких-либо дополнительных артефактов реальной разработки
У интервьюера - плохой английский, основной текст он явно зачитывал по бумажке
Интервьюер явно торопился и не особо внимательно слушал, что крайне подозрительно, когда ты собеседуешь человека на ТАКУЮ позицию и ТАКУЮ зарплату
Ребята явно делают упор на тех, кто так или иначе связан с блокчейном и разработкой под Web3. Целью, очевидно, являются непустые крипто-кошельки
В целом, стоит ребят похвалить за качество материалов для "прогрева" потенциальной жертвы.
А читателям я хочу порекомендовать НИКОГДА не устанавливать и не запускать код, которому вы полностью не доверяете на своем компьютере, сколько бы денег вам не предлагали. Кстати, делать какие-то операции с Git - тоже опасно, помните о Git-хуках.
Спасибо за внимание.
