Фальшивые рекрутеры прячут вредоносное ПО в заданиях по программированию для разработчиков

Главная » Безопасность в IT » Фальшивые рекрутеры прячут вредоносное ПО в заданиях по программированию для разработчиков

14.02.2026

Время чтения: 4 мин.

Новая разновидность кампании по привлечению фальшивых рекрутеров, организованная северокорейскими киберпреступниками, нацелена на разработчиков JavaScript и Python с помощью заданий, связанных с криптовалютами.

Эта активность продолжается как минимум с мая 2025 года и отличается модульной структурой, что позволяет злоумышленнику быстро возобновить ее в случае частичного компромета.

Злоумышленник использует пакеты, опубликованные в реестрах npm и PyPi, которые служат для загрузки трояна удаленного доступа (RAT). Всего исследователи обнаружили 192 вредоносных пакета, связанных с этой кампанией, которую они назвали Graphalgo.

По словам исследователей из компании ReversingLabs, специализирующейся на безопасности цепочек поставок программного обеспечения, злоумышленник создает поддельные компании в сфере блокчейна и криптовалютной торговли и публикует вакансии на различных платформах, таких как LinkedIn, Facebook и Reddit.

Поддельная публикация вакансий на Reddit
Источник: ReversingLabs

Разработчики, претендующие на эту должность, должны продемонстрировать свои навыки, запустив, отладив и улучшив предложенный проект. Однако цель злоумышленника — заставить соискателя запустить код.

Это приведет к установке и выполнению вредоносной зависимости из легитимного репозитория.

«Создать такие репозитории рабочих задач несложно. Злоумышленникам нужно просто взять легальный проект и добавить к нему вредоносную зависимость, и он готов к использованию», — говорят исследователи.

Чтобы скрыть вредоносный характер зависимостей, хакеры размещают их на легальных платформах, таких как npm и PyPi.

Этап кампании по борьбе с фейковыми рекрутерами Graphalgo
источник: ReversingLabs

Читать Tor переходит на новый алгоритм шифрования Onion Relay Counter Galois

В одном из случаев, описанных в отчете ReversingLabs, пакет под названием bigmathutils, который скачали 10 000 раз, был безопасным до выхода версии 1.1.0, в которой появились вредоносные компоненты. Вскоре после этого злоумышленник удалил пакет, пометив его как устаревший, чтобы скрыть свою деятельность.

Название кампании Graphalgo происходит от названий пакетов, в которых есть слово «graph». По словам исследователей, они обычно выдают себя за легальные популярные библиотеки, такие как graphlib.

Однако с декабря 2025 года северокорейский актер стал использовать в своих роликах пакеты с приставкой «big» в названии. Однако ReversingLabs не обнаружила ни рекрутинговой части, ни интерфейса кампании, связанных с ними.

Сроки отправки пакета
Источник: ReversingLabs

По данным исследователей, злоумышленник использует организации Github, которые представляют собой общие учетные записи для совместной работы над несколькими проектами. По их словам, репозитории GitHub чисты, а вредоносный код внедряется косвенно через зависимости, размещенные на npm и PyPI, то есть через пакеты Graphalgo.

Жертвы, выполняющие указания, полученные в ходе собеседования, заражают свои системы этими пакетами, которые устанавливают на их компьютеры вредоносное ПО RAT.

Стоит отметить, что исследователи ReversingLabs выявили нескольких разработчиков, попавшихся на эту уловку, и связались с ними, чтобы узнать подробности процесса вербовки.

RAT может выводить список запущенных процессов на хосте, выполнять произвольные команды по указанию сервера управления и контроля (C2), а также извлекать файлы или загружать дополнительные полезные нагрузки.

Читать Ключевые шаги для управления местом киберпреступления. Часть 2

Команды, поддерживаемые RAT
Источник: ReversingLabs

RAT проверяет, установлено ли в браузере жертвы криптовалютное расширение MetaMask, что явно указывает на его цель — кражу денег.

Связь с командным сервером защищена токеном, чтобы не допустить посторонних, — распространенная тактика северокорейских хакеров.

ReversingLabs обнаружила несколько вариантов, написанных на JavaScript, Python и VBS, что свидетельствует о стремлении охватить все возможные цели.

Исследователи с умеренной или высокой долей уверенности приписывают кампанию по вербовке с использованием поддельного рекрутера Graphalgo группировке Lazarus. Такой вывод сделан на основании подхода, использования тестов на кодирование в качестве вектора заражения и нацеленности на криптовалюту — все это соответствует предыдущей деятельности северокорейских злоумышленников.

Кроме того, исследователи отмечают отложенную активацию вредоносного кода в пакетах, что согласуется с терпением, которое Lazarus проявлял при других атаках. Наконец, в коммитах Git указан часовой пояс GMT +9, соответствующий времени в Северной Корее.

Полный список индикаторов компрометации (IoC) доступен в оригинальном отчете. Разработчикам, которые в какой-либо момент устанавливали вредоносные пакеты, следует сменить все токены и пароли учетных записей и переустановить операционную систему.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Просмотров поста: 1

Редактор: AndreyEx

Рейтинг: 5 (1 голос)