Як хакери з КНДР полюють на крипторозробників: деталі схеми з фейковими вакансіями

Повідомлення від рекрутера у LinkedIn сьогодні може бути не вакансією, а початком хакерської атаки. Північнокорейська група Lazarus використовує співбесіди, щоб отримати доступ до криптогаманців розробників. Про схему докладно розповіли ITC.ua.

Хакери імітують HR-процеси настільки філігранно, що навіть досвідчені девелопери не одразу бачать загрозу.

Читайте також: Українського кіберзлочинця засудили у США за допомогу КНДР

Південнокорейський агент під виглядом рекрутера: як зловмисниками вдавалося заманювати “потенційних кандидатів”

Підписуйтеся на наші соцмережі

Успіх цієї операції тримається на ретельній підготовці фронтенду — зовнішньої оболонки, яка має приспати пильність технічного спеціаліста. Зловмисники реєструють фіктивні компанії на кшталт Veltrix Capital. У них є професійні сайти, активні профілі у соцмережах та реалістичний контент. 

Рекрутери вільно оперують термінами та пропонують вакансії у сфері блокчейну чи DeFi. Цікаво, що рекрутери, які виходили на зв’язок із жертвами, поводилися цілком природно.  Процес виглядає стандартно: знайомство, обговорення досвіду та посилання на GitHub із тестовим завданням. Саме тут зачиняється пастка, адже небезпека криється не в самому коді проєкту, а в його прихованих залежностях.

Все виглядає як звичайна вакансія у LinkedIn або Reddit

Хакери використовують тактику атаки на ланцюжок постачань, публікуючи пакети в репозиторіях npm або PyPI, які копіюють функціонал популярних бібліотек. Пакет bigmathutils протягом місяця залишався чистим і зібрав понад 10 тисяч завантажень, формуючи базу довіри. Проте з черговим оновленням у нього впровадили шкідливий функціонал. 

Як тільки розробник інсталює залежності для виконання тестового завдання, система автоматично стягує заражену бібліотеку. Така модульність дозволяє Lazarus легко змінювати бренди та вакансії, залишаючи технічну інфраструктуру незмінною.

Кінцевим етапом операції стає контроль над пристроєм

Після активації коду на комп’ютер потрапляє троян віддаленого доступу. Він працює непомітно, дозволяючи хакерам переглядати файли та виконувати довільні команди. 

Основний інтерес Lazarus — криптоактиви. 

Вірус цілеспрямовано шукає розширення Metamask у браузері, щоб отримати доступ до ключів та гаманців жертви. Зв’язок із сервером керування захищено токенами, що є характерним підписом північнокорейських груп.

Для спільноти розробників це сигнал: довіра до публічних пакетів та привабливих пропозицій про роботу має бути критичною. Безпека тепер вимагає не лише перевірки коду, який ви пишете, а й ретельного аудиту кожної бібліотеки, яку ви запускаєте на своїй машині під час виконання чергового тестового завдання.