Лаборатория Касперского обнаружила новую вредоносную фреймворк, нацеленную на инвесторов в криптовалюту, в среду в отчёте. Получивший название OkoBot, вредоносный код запускает цепочку заражения с помощью тактик социальной инженерии, таких как ClickFix, который заставляет пользователей выполнять вредоносные команды, или через вредоносно модифицированные приложения GitHub, которые доставляют бэкдор на заражённые устройства. Касперский выявил несколько атак с участием этого семейства вредоносных программ с января 2026 года. Вредоносный код может собирать файлы кошельков криптовалют, данные браузера и учётные данные пользователей, внедрять вредоносные расширения и перехватывать окна приложений кошелька, чтобы похищать активы. Фреймворк развился из TookPS — вредоносной кампании, впервые обнаруженной в 2025 году, которая распространяла Trojan downloader через фальшивые сайты с программным обеспечением.
Фреймворк OkoBot работает через архитектуру SSH-туннеля
OkoBot отличается от предыдущих кампаний тем, что координирует все 20 вредоносных полезных нагрузок через SSH-туннель, который позволяет удалённо передавать данные с заражённых компьютеров на удалённые машины, контролируемые злоумышленниками. Касперский добавил, что фреймворк открывает дверь для атак-клонов.
![Original OkoBot infection chain. Source: Kaspersky]()
Фальшивые кампании в LinkedIn нацелены на разработчиков Web3 через вредоносные репозитории GitHub
Отдельная вредоносная кампания пытается проникнуть на устройства разработчиков Web3 через фальшивые возможности найма в LinkedIn, сообщает SlowMist. Злоумышленники связываются с разработчиками блокчейна через LinkedIn, выдавая себя за рекрутеров Web3, заявила в субботнем отчёте компания по кибербезопасности блокчейна. Затем они отправляют жертвам фальшивые репозитории GitHub, утверждая, что там содержится минимально жизнеспособный продукт (MVP), который нужно попробовать до собеседования.
Рабочий процесс очень похож на легитимное техническое интервью, когда разработчики подтягивают код, устанавливают зависимости и запускают проект, что затрудняет заметить атаку, по данным SlowMist. Вредоносный код нацелен на доставку полноценного trojan удалённого доступа, который заражает устройства, позволяя злоумышленникам похищать ключи проекта, облачные учётные данные или данные расширений кошелька у этих разработчиков.
SlowMist сообщил, что эта атака не является единичным случаем, добавив: недавние инциденты показывают, что злоумышленники всё чаще используют сценарии вроде рекрутинга, code review и совместной работы над проектами, чтобы заставить разработчиков самостоятельно активно запускать вредоносные репозитории. Отчёт вышел за день до того, как SlowMist предупредил о другой вредоносной кампании, нацеленной на пользователей macOS: она должна была украсть их учётные данные и угнать сеансы Telegram, чтобы в итоге обмануть инвесторов и заставить их вводить фразы для восстановления кошелька через фальшивые сайты.
FAQ
Что такое вредоносная программа OkoBot и когда она была обнаружена?
OkoBot — это вредоносная фреймворк, нацеленная на инвесторов в криптовалюту, которую Касперский обнаружил в среду в отчёте. Касперский выявил несколько атак с участием этого семейства вредоносных программ с января 2026 года. Вредоносный код инициирует заражение через тактики социальной инженерии, такие как ClickFix, или вредоносно модифицированные приложения GitHub, и может собирать файлы кошельков криптовалют, данные браузера и учётные данные пользователей, внедрять вредоносные расширения и перехватывать окна приложений кошелька.
Как фальшивые кампании с наймом в LinkedIn нацелены на разработчиков Web3?
Злоумышленники связываются с разработчиками блокчейна через LinkedIn, выдавая себя за рекрутеров Web3, согласно субботнему отчёту SlowMist. Они отправляют жертвам фальшивые репозитории GitHub, утверждая, что там содержится минимально жизнеспособный продукт, который нужно попробовать до собеседования. Рабочий процесс напоминает легитимное техническое интервью, где разработчики подтягивают код, устанавливают зависимости и запускают проект, из-за чего атаку сложно заметить. Вредоносный код доставляет trojan удалённого доступа, который похищает ключи проекта, облачные учётные данные или данные расширений кошелька.