ALERTA IMPORTANTE PARA DEVS: golpe em testes técnicos está crescendo - fiquem espertos

Source: Dev.to

Como o golpe funciona (sempre o mesmo padrão)

• Um “recrutador” (às vezes se passando por CEO ou HR de blockchain) inicia contato.
• A vaga parece ótima — salário acima da média, 100 % remota, pagamento em dólar etc.
• Ele pede seu CV e GitHub.
• Diz que você “passou para a próxima etapa” sem nem conversar direito.
• Antes da entrevista, envia uma codebase para você estudar ou ajustar.

Aí o ataque acontece: ao rodar o projeto, um script malicioso dentro das dependências executa um payload remoto — permitindo invasão, roubo de dados e, especialmente, acesso a carteiras de criptomoedas instaladas no navegador.

Casos reais analisados (dos artigos citados)

Allan Lancioni

Ele fez engenharia reversa completa do ataque que recebeu. A codebase continha scripts escondidos que permitiam injeção de código e roubo de carteiras cripto.

Artigo (leitura obrigatória):
Como identifiquei um golpe em teste técnico – análise real

João Pessoa

Recebeu um repositório suspeito como “teste técnico”. Ao checar o package.json, encontrou pacotes maliciosos:

{
  "dependencies": {
    "fs": "0.0.1-security",          // pacote removido por malícia
    "execp": "0.0.1",                // criado só para executar comandos arbitrários
    "request": "^2.88.2"             // versão vulnerável
  }
}

Um script de execução remota estava escondido em dark.min.js, usando atob + eval para rodar código vindo da internet.

Post original: LinkedIn – João Pessoa

Muhammad Ramadhani

Recebeu projeto idêntico, com exatamente os mesmos pacotes maliciosos. Seu alerta viralizou entre devs de Web3.

Perfil: LinkedIn – Muhammad Ramadhani

O meu caso pessoal

Sim, eu também recebi essa tentativa de golpe este ano. Os sinais foram:

• A empresa dizia ser “X”, mas o e‑mail do recrutador era um gmail.com.
• O repositório não tinha nada a ver com o nome da empresa.
• O projeto era relacionado a criptomoedas (mesmo padrão).
• Estrutura de código estranha.
• Pressa para que eu rodasse a aplicação antes de qualquer call técnica.

Repositório que recebi: mega-org99/Coinpromoting_dApp

Allan respondeu que o golpe dele usava outro repo semelhante: megaorg991/tokentradingdapp – mesma estrutura, mesmo modus operandi.

Minha intuição falou mais alto e abandonei o processo na hora. Preferi perder uma “oportunidade” do que arriscar minha máquina, minhas contas e meus dados.

Como se proteger (de forma prática)

1. Nunca rode npm install, yarn ou pip install em projetos enviados por desconhecidos.
   Abra o package.json, requirements.txt, composer.json etc. e procure pacotes desconhecidos, versões únicas ou nomes estranhos.

2. Desconfie de qualquer teste enviado antes de uma call real com o recrutador.
   Golpista não faz entrevista — manda “teste” direto.

3. Pesquise o nome do recrutador e da empresa.
   E‑mail Gmail = bandeira vermelha.

4. Peça ao entrevistador que explique o projeto em call.
   Golpista costuma fugir dessa etapa.

5. Use o ChatGPT (ou outra IA) para analisar dependências suspeitas.
   Cole a lista de pacotes e peça uma análise de possíveis malwares.

6. Se parecer bom demais… desconfie.
   Propostas muito acima da realidade costumam ser armadilhas.

Resumo final

Isso não é exagero — é prevenção.

Golpistas miram desenvolvedores porque:

• Dev roda código.
• Dev tem acesso a máquinas produtivas.
• Dev guarda tokens, SSH keys, wallets.
• Dev confia demais em “testes técnicos”.

Não caia nessa. Se algo parecer estranho, saia fora. Seu instinto é uma ferramenta de segurança tão importante quanto seu antivírus.