Самое опасное место в крипте сейчас — это не DeFi-протокол или централизованная биржа. Это собеседование на работу.
Группа Lazarus из Северной Кореи полностью изменила свою стратегию атак, и новый метод действительно вызывает беспокойство своей простотой и эффективностью. Исследователи из OpenSourceMalware подтвердили 6 мая, что Lazarus теперь прячет загрузчики второго этапа вредоносного ПО прямо внутри Git Hooks — в частности, в скриптах pre-commit репозиториев, которые разработчикам предлагают клонировать в рамках поддельных собеседований.
Вот как именно работает атака. Разработчику на LinkedIn или платформе поиска работы обращается то, что выглядит как законный рекрутер из крипто- или DeFi-компании. Разработчика приглашают пройти техническую оценку. Они клонируют репозиторий. Как только они выполняют стандартную команду git — что-то такое привычное, как git merge или git pull — скрипт предварительного коммита незаметно срабатывает в фоновом режиме. Этот скрипт загружает BeaverTail, JavaScript инфостилер, созданный Lazarus. BeaverTail затем устанавливает InvisibleFerret, Python бэкдор, который дает злоумышленникам постоянный удаленный доступ ко всей машине. Никакого подозрительного бинарника. Никакого запроса на установку. Никаких предупреждений. Машина полностью скомпрометирована до того, как разработчик завершит оценку.
Это не новая группа, ищущая свое место. Это операция, поддерживаемая государством, которая украла более пяти миллиардов долларов в криптовалюте с 2021 по 2025 год. В феврале 2025 года они украли 1,5 миллиарда долларов из Bybit за одну атаку — крупнейшее ограбление крипты в истории. В апреле 2026 года, всего три недели назад, их связали с эксплуатацией KelpDAO на 290 миллионов долларов. США, Япония и Южная Корея официально подтвердили, что Lazarus украл 660 миллионов долларов в крипте только в 2024 году. Северная Корея использует каждый доллар для финансирования своей программы ядерного оружия.
Кампания Mach-O Man в апреле 2026 года показала, что они также нацеливаются на руководителей крипто- и финтех-компаний через фальшивые онлайн-встречи на macOS. Кампания GitHub C2, обнаруженная в апреле, использует сам GitHub в качестве сервера командования и управления — перенаправляя вредоносный трафик через одну из самых доверенных платформ в интернете, чтобы брандмауэры никогда не обнаруживали его.
У исследователей есть одна четкая рекомендация. Никогда не клонируйте репозиторий, который вы получили через предложение о работе или процесс набора, не запустив его в полностью изолированной среде. Храните свои SSH-ключи, учетные данные браузера и сид-фразы криптокошелька на машине, которая никогда не касается нежелательного кода. Если рекрутер отправляет вам репозиторий для тестирования, рассматривайте его как заряженное оружие, пока не будет доказано обратное.
Рынок труда в крипте реально существует. И люди, которые его исследуют, тоже.
Будь на чеку.
$BTC $ETH $BNB #CryptoSecurity #LazarusGroup #HackerAlert #Web3Security #dyor
