Компания Kaspersky обнаружила новую вредоносную фреймворк-программу, нацеленную на инвесторов в криптовалюту, говорится в среду в отчёте. Получившая название OkoBot вредоносная программа запускает цепочки заражения с помощью тактик социальной инженерии, таких как ClickFix, и троянизированных приложений для GitHub, которые доставляют бэкдоры на заражённые устройства. Kaspersky выявила несколько атак с использованием этого семейства вредоносов с января 2026 года. Вредоносная программа эволюционировала из TookPS — кампании, впервые обнаруженной в 2025 году, которая распространяла троян-загрузчик через фейковые сайты с софтом. Отдельно SlowMist сообщила в субботу, что вредоносная кампания нацелена на разработчиков Web3 через фейковые предложения/вакансии в LinkedIn, доставляя трояны удалённого доступа через вредоносные репозитории GitHub, выдаваемые за материалы технических собеседований.
Фреймворк OkoBot похищает файлы кошельков через архитектуру SSH-туннеля
Вредоносная программа OkoBot может собирать файлы криптокошельков, данные браузера и пользовательские учётные данные, внедрять вредоносные расширения и перехватывать окна приложений кошельков для кражи активов, говорится в отчёте Kaspersky. Фреймворк отличается от предыдущих кампаний тем, что координирует все 20 вредоносных полезных нагрузок через SSH-туннель, который позволяет удалённо передавать данные с заражённых компьютеров на удалённые машины, контролируемые злоумышленниками. Kaspersky добавила, что фреймворк вредоноса открывает дверь для атак-копий.
Фейковые рекрутеры из LinkedIn доставляют трояны через репозитории GitHub
Злоумышленники связываются с разработчиками блокчейна через LinkedIn, выдавая себя за рекрутеров Web3, сообщила SlowMist. Они отправляют жертвам фейковые репозитории GitHub, утверждая, что там содержался минимально жизнеспособный продукт, который нужно было опробовать до собеседования, заявила компания по безопасности блокчейна в отчёте в субботу. Рабочий процесс очень похож на реальное техническое собеседование, где разработчики забирают код, устанавливают зависимости и запускают проект, из-за чего атаку сложно заметить. Вредоносная программа нацелена на доставку полноценного трояна удалённого доступа, который заражает устройства, позволяя злоумышленникам похищать ключи проекта, облачные учётные данные или данные расширений кошелька у этих разработчиков.
SlowMist связывает атаку с более широкой кампанией против разработчиков
SlowMist написала, что это не единичный случай, добавив, что недавние инциденты показывают: злоумышленники всё чаще используют сценарии вроде рекрутинга, code reviews и совместной работы над проектами, чтобы заставить разработчиков добровольно запускать вредоносные репозитории. Отчёт вышел на день позже, чем SlowMist предупреждала о отдельной кампании вредоносов, нацеленной на пользователей macOS: её цель — украсть учётные данные и перехватить их сессии Telegram, чтобы в итоге обманом заставить инвесторов вводить фразы для восстановления кошелька через фейковые сайты.
Часто задаваемые вопросы
Что такое вредоносная программа OkoBot и когда она была выявлена?
OkoBot — это вредоносная фреймворк-программа, нацеленная на инвесторов в криптовалюту, которую Kaspersky обнаружила в среду в отчёте. Kaspersky выявила несколько атак с использованием этого семейства вредоносов с января 2026 года. Вредоносная программа запускает цепочки заражения с помощью тактик социальной инженерии, таких как ClickFix, и троянизированных приложений для GitHub.
Как фейковая рекрутинговая кампания в LinkedIn нацеливается на разработчиков Web3?
Злоумышленники связываются с разработчиками блокчейна через LinkedIn, выдавая себя за рекрутеров Web3, говорится в субботнем отчёте SlowMist. Они отправляют жертвам фейковые репозитории GitHub, утверждая, что там содержался минимально жизнеспособный продукт, который нужно было опробовать до собеседования. Рабочий процесс напоминает реальное техническое собеседование, из-за чего атаку сложно заметить.
Какие данные похищает вредоносная программа OkoBot с заражённых устройств?
Вредоносная программа OkoBot может собирать файлы криптокошельков, данные браузера и пользовательские учётные данные, внедрять вредоносные расширения и перехватывать окна приложений кошельков для кражи активов, сообщила Kaspersky. Фреймворк координирует все 20 вредоносных полезных нагрузок через SSH-туннель, что позволяет удалённо передавать данные с заражённых компьютеров на машины, контролируемые злоумышленниками.