На LinkedIn мне, как, думаю, и многим из вас, часто пишут. Чаще всего, это бывают либо рекрутеры низшего уровня, которые особо не вдаются в детали моей специализации и спамят просто «на удачу». Либо, это те, кто пытается предложить мне услуги, которые, ха-ха, я и сам предоставляю (всяческое R&D).

Первым делом, эти ребята, конечно, просят добавить их в контакты. Чаще всего, я на это никак не реагирую, чтобы не тратить время. Но иногда, я захожу глянуть профиль, особенно, если указано, что это, возможно, мой настоящий коллега-разработчик или какой-то иной живой человек. В этот раз, мне написал некий Гильермо, из Бразилии. В профиле написано — DevOps, а девопсов я уважаю, поэтому и жамкнул на «добавить в контакты».

Что было дальше

Через пару дней после добавления, Гильермо мне пишет, мол у нас тут супер-пупер проект крипто-покер-платформы, и нам нужен технический руководитель, за много-много тысяч денег, а мой профиль им очень понравился. Говорит, что они даже сходили на мой сайт, не побрезговали, и остались в восторге от увиденного. Уже очень подозрительно. Нет, я, конечно, горжусь нашим сайтом, но ни за что не поверю, что кто-то его посещает по своей воле.

Тем временем, Гильермо мне рассказывает про свой проект всяческие подробности, дает ссылки, включая страницу с описанием зарплатных вилок (ага, так я и поверил) и даже макеты их «будущего продукта» в Figma. Ну, думаю, ваша открытость ребята, а точнее, уровень подготовки для «прогрева» — достойны всяческого восхищения. То есть, так не бывает. Но от того мне становится все любопытнее. Думаю, на это у них и расчет.

И вот, мне предлагают выбрать удобную дату для созвона в Google Meet. Я выбираю, и мне на почту приходит подтверждение, но от другого чувака, с которым в LinkedIn я не общался. На этот раз, это некий Демиан. Разумный человек тут сразу задастся вопросом: а почему ты, Демиан, сразу не писал мне лично? Ну ладно, думаю, давай созвонимся, послушаем как бразильцы говорят по английски.

К звонку я готовился. С одной стороны — лишний опыт самопрезентации никогда не повредит, а с другой — на той стороне тоже должны почувствовать мою «подготовку». Ну и, вдруг, мне, действительно, хотят платить много денег? Ведь я этого, действительно, достоин!

На встречу Демиан не явился и я уж было подумал, что это конец истории, но мне предложили перенести созвон на попозже. Перенесли, связываемся. Дэмиан рябит и квакает, жалуется что у него плохая связь и просит выключить видео с камеры. Нда, что-то все выглядит все хуже и хуже. Все это создает какую-то лишнюю нервозность и явно рассчитано на то, чтобы жертва соображала чуть менее ясно. «Интервьюер» просит рассказать о себе, но явно торопится и часто перебивает, говоря при этом, что они уже сами все это успели прочитать в моем профиле и на сайте. В итоге, он радостно заявляет, что ты нам, мол, очевидно, подходишь и давай я лучше тебе подробнее расскажу о нашем проекте, и даже покажу все в действии. Английский у Демиана, кстати говоря, ужасный, что никак не вяжется с необходимостью проводить интервью.

Ну и вот она, наша кульминация: Демиан просит ссылку на мой профиль на GitHub и дает мне доступ к их репозиторию. Заходи, говорит, со свего компа, расшаривай экран, клонируй репу, жамкай npm install… Я отвечаю: — не, лучше ты. Он: — я не могу, я с телефона. Я отвечаю: — я тоже не могу, без проверки безопасности я на свой рабочий комп чужой код никак пустить не могу. Только в изолированный контейнер какой-нибудь и то с кучей оговорок. Он отвечает: респект, понимаю, проверяй конечно, эту свою безопасность. Я объясняю, что аудит безопасности штука небыстрая, и это точно никак не возможно сделать во время созвона. Демиан, сперва, включает дурака, говорит что-то типа: ничего-ничего, я подожду, но потом до него доходит, что рыба сорвалась и особого смысла в дальнейших препирательствах нет. Говорит, что ждет от меня сигнала, и когда я все проверю — он будет договариваться с CTO о нашем дальнейшем общем созвоне. На этом, собственно, все.

Немного дополнительных деталей и «красных флагов»

• Слишком высокая зарплата для указанной позиции

• Слишком легко делятся информацией, которая, в нормальных условиях, считается конфиденциальной и всегда следует только за подписанием соглашения о неразглашении

• Пускают кого попало в свой «рабочий» репозиторий

• Репа весит более 10-ти мегабайт, без!!! папки node_modules. С таким объемом кода искать вектор атаки забесплатно — вообще не хочется. Можно было бы перебрать все файлы с помощью ИИ — как вариант, для начала…

• При этом, в package.json — минимум зависимостей, как у самого простого прототипа. И конечно же, ничего опасного на первый взгляд.

• В репозитории история на 23 вялых коммита, что никак не похоже на активную разработку

• В организации на GitHub нет публичных профилей членов организации

• Нет вообще никаких ссылок на профили разработчиков или каких-либо дополнительных артефактов реальной разработки

• У интервьюера — плохой английский, основной текст он явно зачитывал по бумажке

• Интервьюер явно торопился и не особо внимательно слушал, что крайне подозрительно, когда ты собеседуешь человека на ТАКУЮ позицию и ТАКУЮ зарплату

• Ребята явно делают упор на тех, кто так или иначе связан с блокчейном и разработкой под Web3. Целью, очевидно, являются непустые крипто-кошельки

В целом, стоит ребят похвалить за качество материалов для «прогрева» потенциальной жертвы.

А читателям я хочу порекомендовать НИКОГДА не устанавливать и не запускать код, которому вы полностью не доверяете на своем компьютере, сколько бы денег вам не предлагали. Кстати, делать какие-то операции с Git — тоже опасно, помните о Git-хуках.

Спасибо за внимание.