Як засновник Web3 став жертвою відомого північнокорейського шкідливого програмного забезпечення “BeaverTail”

Засновник Web3 Акшит Оствал втратив $20K через шкідливу програму BeaverTail від Північної Кореї у складній крипто-шахрайській схемі, спрямованій на розробників.

Останнім часом у сфері Web3 цього тижня знову нагадали про небезпеку. Акшит Оствал, співзасновник Epoch Protocol, втратив понад $20,000 після допомоги другу з тим, що здавалося стандартним технічним інтерв’ю.

Цей інцидент лише підтверджує тривалу кампанію північнокорейських хакерів щодо цільової атаки саме на тих, хто створює майбутнє інтернету.

Як почалася високоризикова крипто-шахрайська схема

Проблема почалася минулого року 18 грудня з простої прохання від друга. Цей друг проходив співбесіду на нову посаду і попросив Оствала переглянути репозиторій коду.

Друг вважав, що код походить від легітимного рекрутера відомої компанії.

Оствал хотів допомогти і запустив сторонній код на своєму локальному комп’ютері.

https://t.co/FCHfkGQdeA

— (AK) Акшит | Epoch Protocol 🦇🔊🛡️ (@OstwalAk) 8 січня 2026

Цей акт доброти відкрив двері для кампанії “Інфекційне Інтерв’ю”, яка була пов’язана з відомою державною групою Lazarus з Північної Кореї.

Замість масового фішингу, ці зловмисники тепер використовують високорівневу соціальну інженерію, щоб обдурити розробників і змусити їх запускати підроблені файли.

Анатомія атаки шкідливого програмного забезпечення BeaverTail

Оствал зазначив у пості на X, що після запуску коду в його системі почалася безшумна ланцюг інфекцій.

Експерти з безпеки Seal911 визначили головного винуватця як шкідливу програму BeaverTail. Це програмне забезпечення на основі JavaScript часто використовується разом із вторинним бекдором під назвою InvisibleFerret.

Коли вони використовуються разом, вони стають майже непереможною парою для крадіжки криптовалюти у будь-якому середовищі розробки.

За словами Оствала, шкідливе програмне забезпечення працювало у кілька етапів:

Перший — автоматичне виконання, коли щойно запускалася локальна серверна частина, файл analytics.controller.js починав виконувати приховану функцію.

Наступним, скрипт негайно надсилав системні змінні оточення Оствала зловмиснику. Це включало чутливі дані, такі як URL баз даних і приватні ключі.

Нарешті, сервер зловмисника повертав шкідливий JavaScript, який виконувався з правами root на зараженому пристрої.

З часом понад $20,000 було втрачені безповоротно.

Чому крипто-шахрайство залишалося прихованим

Варто зазначити, що зловмисники не переказували гроші одразу. Замість цього вони ймовірно підтримували бекдор на пристрої Оствала майже місяць. За цей час вони писали власні скрипти для зняття його DeFi портфеля.

Вони також чекали ідеального моменту, щоб “змити” всі його активи одним транзакцією.

Зловмисники зрештою націлилися на гаманці, сумісні з EVM, та Solana-рахунки.

Вони використовували інструменти, такі як Near-Intents і Rubic Exchange, щоб переміщати вкрадені кошти. Ця тактика “перехоплення ланцюгів” ускладнює слідство і відстеження грошей через різні блокчейни.

Пов’язане читання: $3.4 мільярда вкрадено: Північна Корея керує рекордним $2 мільярдним крадіжкою криптовалюти цього року

Рекордний масштаб крадіжки Північної Кореї

Досвід Оствала є частиною масивного зростання кіберзлочинності. Дані з Crypto Crime Report 2026 свідчать, що північнокорейські хакери вкрали $2.02 мільярда минулого року.

Ця цифра становить більшість із $3.4 мільярда, вкрадених у криптовалюті у всьому світі минулого року.

Кампанія “Інфекційне Інтерв’ю” виявилася надзвичайно ефективною. Хакери створюють сотні шкідливих пакетів NPM і використовують штучний інтелект для генерації відповідей на співбесідах, що звучать людською мовою.

Інакше кажучи, вони фактично перетворили ринок праці на мінне поле для програмних інженерів.