Підшукуючи жертв серед розробників, хакери маскуються під рекрутерів

На LinkedIn виявили небезпечну хакерську кампанію, націлену на розробників. Кіберзлочинці розсилають фейкові запрошення на роботу від імені «стартапа штучного інтелекту DLMind», пропонуючи пройти технічне тестове завдання. Насправді за цим стоїть багатоетапна атака під назвою BeaverTail, пише в своєму блозі малайзійський експерт Шанбану Грумаде.

У повідомленні нібито від рекрутера Тіма Моренка (Tim Morenc) кандидат отримує лист з пропозицією виконати завдання в GitHub-репозиторії проекту AI-Healthcare. В інструкції просять:

«Клонуйте репозиторій, встановіть залежності та запустіть збірку. Потім поділіться враженнями від коду».

BeaverTail виглядає як реальний Next.js-проект, однак при запуску скрипта виконується прихований бекдор, який:

• сканує .env та конфігураційні файли на предмет API-ключів та токенів;
• краде збережені паролі та cookie браузерів;
• перехоплює буфер обміну та клавіатуру;
• створює приховане підключення до зовнішнього сервера через WebSocket;
• встановлює AnyDesk-Бекдор для віддаленого доступу.

Бекдор розгортається в кілька етапів: спочатку завантажується JavaScript-стілер, потім Python-компоненти з функціями кейлоггера і віддаленого управління. На завершальному етапі операційна система заражається модифікованою версією AnyDesk, яка дає зловмисникам повний контроль за пристроєм.

BeaverTail розрахований на довірливість розробників. LinkedIn-профіль «рекрутера» виглядає професійно, має фото, опис досвіду та контактні дані. GitHub-репозиторій оформлено як реальний проект з документацією та README.

Експерти з кібербезпеки попереджають: атака спрямована не лише на крадіжку особистих даних, а й на компрометацію корпоративних інфраструктур, якщо жертва використовує робочі облікові записи або VPN-доступ.

Якщо ви отримали повідомлення від Тіма Моренка або запрошення від компанії DLMind, не переходьте за посиланнями та не запускайте код із їхніх репозиторіїв. Рекомендується перевірити систему на віруси, змінити паролі та анулювати токени API-доступу.