На прошлой неделе компания ReversingLabs опубликовала подробный о вредоносной кампании, направленной на разработчиков ПО, занятых в индустрии криптовалют. Кампания атрибутирована группировке Lazarus, работающей из Северной Кореи и известной благодаря атакам, целью которых является кража цифровой валюты. В данном случае речь идет о весьма продуманной и хорошо спланированной операции, жертвами которой становятся программисты, ищущие работу. Привлекательные, но вполне реалистичные вакансии ведут к тестовому заданию, содержащему вредоносный код.
Авторы отчета отдают должное организаторам атаки: их легенда была подготовлена с большим вниманием к деталям. Поддельная компания Veltrix Capital имела собственный веб-сайт, регулярно обновляемые аккаунты в соцсетях, а также собственный репозиторий в GitHub. «Вакансии» от имени несуществующей компании публиковались на LinkedIn и в профильных сообществах на Reddit. Некоторым потенциальным жертвам предложения рассылались лично, причем, вероятно, для этого нанимались настоящие рекрутеры-фрилансеры. Сами вакансии (как показано на скриншоте выше) выглядели максимально правдоподобно, с щедрыми, но реалистичными окладами. Во всех случаях было указано, что требуется или желателен опыт работы в финтехе.
В случае отклика кандидата ему присылали ссылку на тестовое задание, выложенное на GitHub фейковой компании. Там были выложены варианты кода на Python и JavaScript. Они не содержали собственно вредоносного кода, но он подключался в виде зависимости: библиотеки, выложенной в репозиторий npm или PyPI.
От кандидатов требовалось «запустить, отладить и улучшить» предложенный код. Реальной целью атакующих было выполнение вредоносного кода на компьютере жертвы. На скриншоте выше показано, что в качестве одной из зависимостей используется пакет graphnetworkx, который мимикрирует сразу под две популярных библиотеки — graphlib и networkx в репозитории PyPI. Выполнение этого кода приводило к загрузке троянской программы, которая на регулярной основе обращалась к командному серверу и выполняла полученные оттуда команды. Набор вредоносных фич был стандартный: создание и отправка списка запущенных программ и информации о системе, отправка злоумышленникам произвольных файлов, загрузка файлов с командного сервера и так далее.
Данная кампания представляет собой всего лишь одну из многих кибератак на индустрию криптовалют, организованных группировкой Lazarus. И эта атака далеко не самая креативная. Одним из выдающихся примеров кибермошеннической смекалки является , в которой были реализованы инструменты децентрализованного финансирования. Еще одна, более ранняя, атака с использованием «тестовых заданий» была в 2024 году. Тогда поддельные вакансии рассылались от имени известных крупных организаций. В этот раз Lazarus решила использовать полностью выдуманную компанию, что, по мнению авторов отчета, позволяет повторять атаку множество раз: достаточно изменить название организации, без изменений в легенде и во вредоносном коде.
Что еще произошло
Эксперты «Лаборатории Касперского» выложили о спаме и фишинге за 2025 год. Общие цифры: в прошлом году 45% всех электронных сообщений были спамом (в Рунете — 43,27%); 32,5% всего спама были отправлены из России. Типичные приманки в фишинговых и мошеннических сообщениях: бесплатные билеты на концерты поп-звезд, «оплата» за прослушивание песен на Spotify, несуществующие подарочные карты на крупные суммы. Необычный вариант скама: пользователям сайтов знакомств предлагали купить поддельные билеты в кино. В отчете также подробно рассматривается фишинг учетных данных для доступа к государственным цифровым сервисам в разных странах. В некоторых случаях помимо пароля от местных «госуслуг» у жертв пытались украсть деньги. Например, в Норвегии зафиксирована рассылка фейковых сообщений, предлагающих обновить водительские права, а на поддельном сайте жертвам предлагалось оплатить пошлину. Активно развиваются атаки на пользователей мессенджеров с последующей кражей учетки. В частности, пользователям Telegram предлагалось поучаствовать в розыгрыше призов. На пользователей WhatsApp в разных странах нацелены поддельные «детские конкурсы». В этом отчете также говорится о поддельных вакансиях, реакция на которые приводит к угону учетной записи в Telegram. Для рассылки вредоносных программ по почте активно использовались запароленные архивы, а также методика ClickFix, когда пользователю предлагают скопировать и выполнить код в командной строке.
Еще два исследования специалистов «Лаборатории Касперского»: стилера, рассылаемого под видом компьютерной игры, и разбор нового группировки Head Mare.
Пользователям аппаратных криптокошельков Trezor и Ledger традиционные, чернилами по бумаге, письма с требованием «проверить авторизацию». QR-коды в письмах ведут на мошеннические веб-сайты.
Специалисты компании LayerX 30 вредоносных расширений для браузера Google Chrome. Все они мимикрируют под ИИ-ассистентов и нацелены на кражу персональных данных, прежде всего — переписки из почтового сервиса Gmail.
Свежий команды Google Threat Intelligence Group документирует использование ИИ-сервисов для вредоносных атак в четвертом квартале 2025. Краткий вывод отчета: ИИ эксплуатируется на всех этапах вредоносной атаки, включая сбор разведданных, генерацию фишинговых сообщений и выявление новых уязвимостей.
Не только расширения для браузера могут использоваться для вредоносных атак. В компании Koi Security расширение для почтовой программы Microsoft Outlook. Аддон AgreeTo был доступен в «магазине расширений» с 2022 года. В какой-то момент проект был заброшен разработчиком, контроль над ним перехвачен, в результате чего были похищены данные четырех тысяч учеток Microsoft и другая приватная информация.
В рамках ежемесячного Microsoft в Блокноте, которая могла привести к выполнению произвольного кода. Такой неожиданный для простого текстового редактора сценарий стал возможен благодаря поддержке форматирования Markdown. Некорректная обработка файлов с таким форматированием может приводить к запуску произвольных файлов без дополнительных проверок и предупреждений.
