Тестовое задание с «сюрпризом». Хакеры маскируются под рекрутеров, чтобы взломать ваш macOS

Хакерская группа BlueNoroff давно превратила киберпреступность в высокотехнологичный бизнес, где на кону стоят десятки миллионов долларов, криптовалютные активы и целые финансовые экосистемы. Отчет Picus Security подробно раскрывает развитие группы. Начав с дерзких атак на банки, BlueNoroff постепенно эволюционировала в одну из самых опасных угроз для крипторынка, Web3-компаний и разработчиков по всему миру.

BlueNoroff считается финансово ориентированным подразделением группировки Lazarus и прославилась еще в 2016 году, когда участвовала в атаке на Центральный банк Бангладеш. Тогда злоумышленники взломали инфраструктуру SWIFT и смогли похитить 81 млн долларов, что стало одной из самых громких киберкраж в истории. После этого группа переключилась на атаки против банков в Европе, а уже в 2017 году сменила фокус и начала охоту за криптовалютными компаниями в рамках кампании SnatchCrypto.

В 2018 году хакеры начали создавать фейковые IT-компании и распространять «легитимное» программное обеспечение, которое позже получало вредоносные обновления. В последние годы основной целью стали пользователи macOS и проекты в сфере Web3. В кампаниях GhostCall и GhostHire злоумышленники маскировались под рекрутеров и инвесторов, проводили поддельные собеседования и встречи, заражая устройства руководителей и разработчиков. В 2025 году группа пошла еще дальше, начав атаки на цепочки поставок, публикуя вредоносные пакеты в официальных репозиториях Go и маскируя вредоносное ПО под приложения Microsoft Teams.

В основе атак группировки лежит тщательная разведка. Хакеры изучают профили в LinkedIn и других соцсетях, создают правдоподобные фальшивые личности, после чего выходят на жертв через Telegram, мессенджеры и поддельные сайты видеоконференций. Жертве могут предложить тестовое задание, интервью или инвестиционную встречу, а в реальности это заканчивается установкой вредоносного ПО.

Технический арсенал BlueNoroff впечатляет. Они используют модульные вредоносные программы, написанные на Rust, Go, Python и других языках, применяют AppleScript и скрипты для запуска кода на macOS, подменяют расширения браузеров, создают механизмы автозапуска и маскируют вредоносные файлы под системные процессы и популярные приложения. Для кражи данных применяются фейковые окна ввода паролей, поддельные системные запросы и скрытые сборщики учетных данных, которые ищут ключи доступа к облачным сервисам и криптокошелькам.

Главной целью всех операций остаются деньги. Группа системно занимается кражей криптовалюты, финансовых данных и цифровых активов, превращая сложные APT-атаки в инструмент масштабного финансового мошенничества.

Эксперты отмечают, что BlueNoroff сегодня является одной из самых эволюционировавших кибергруппировок в мире. Её путь от атак на банковскую инфраструктуру до сложных схем социальной инженерии, атак на цепочку поставок и фейковых собеседований показывает, как киберпреступность превращается в полноценную индустрию, где технологии, психология и обман работают вместе. И судя по активности группы в 2024 и 2025 годах, останавливаться она точно не собирается.