Najniebezpieczniejsze miejsce w krypto teraz to nie protokół DeFi ani scentralizowana giełda. To rozmowa kwalifikacyjna.
Grupa Lazarus z Korei Północnej całkowicie zmieniła swoją strategię ataku, a nowa metoda jest naprawdę niepokojąca w swojej prostocie i skuteczności. Badacze z OpenSourceMalware potwierdzili 6 maja, że Lazarus teraz ukrywa drugą fazę ładunków złośliwego oprogramowania bezpośrednio w Git Hooks — konkretnie w skryptach pre-commit repozytoriów, które deweloperzy są proszeni o sklonowanie w ramach fałszywych rozmów kwalifikacyjnych.
Oto dokładnie jak działa atak. Programista zostaje podejrzany na LinkedIn lub platformie pracy przez kogoś, kto wygląda na legitnego rekrutera z firmy krypto lub DeFi. Programista jest zapraszany do przeprowadzenia oceny technicznej. Klonują repozytorium. W momencie, gdy uruchamiają standardową komendę git — coś takiego jak git merge lub git pull — skrypt pre-commit uruchamia się cicho w tle. Ten skrypt pobiera BeaverTail, JavaScriptowego infostealera stworzonego przez Lazarus. BeaverTail następnie instaluje InvisibleFerret, backdoora w Pythonie, który daje atakującym stały zdalny dostęp do całej maszyny. Żadnego podejrzanego binarnego pliku. Żadnego komunikatu o instalacji. Żadnego ostrzeżenia. Maszyna jest całkowicie skompromitowana zanim programista skończy ocenę.
To nie jest nowa grupa, która szuka swojego miejsca. To operacja sponsorowana przez państwo, która ukradła ponad pięć miliardów dolarów w kryptowalutach między 2021 a 2025 rokiem. W lutym 2025 roku ukradli 1,5 miliarda dolarów z Bybit w jednym ataku — największym pojedynczym skokiem kryptowalutowym w historii. W kwietniu 2026 roku, zaledwie trzy tygodnie temu, byli powiązani z eksploatacją KelpDAO na 290 milionów dolarów. USA, Japonia i Korea Południowa oficjalnie potwierdziły, że Lazarus ukradł 660 milionów dolarów w krypto tylko w 2024 roku. Korea Północna wykorzystuje każdy dolar na finansowanie swojego programu broni nuklearnej.
Kampania Mach-O Man w kwietniu 2026 roku pokazała, że celują także w menedżerów firm krypto i fintech poprzez fałszywe spotkania online na macOS. Kampania GitHub C2, odkryta w kwietniu, wykorzystuje sam GitHub jako serwer dowodzenia i kontroli — kierując złośliwy ruch przez jedną z najbardziej zaufanych platform w internecie, tak że zapory ogniowe nigdy tego nie oznaczają.
Badacze mają jedno wyraźne zalecenie. Nigdy nie klonuj repozytorium, które otrzymałeś przez ofertę pracy lub proces rekrutacji, bez uruchamiania go w całkowicie izolowanym środowisku. Trzymaj swoje klucze SSH, dane logowania do przeglądarki i frazy seed do portfela krypto na maszynie, która nigdy nie dotyka niezamówionego kodu. Jeśli rekruter wysyła ci repozytorium do przetestowania, traktuj je jak naładowaną broń, dopóki nie zostanie udowodnione inaczej.
Rynek pracy w krypto jest realny. Tak samo jak ludzie, którzy go przeszukują.
Bądź czujny.
$BTC $ETH $BNB #CryptoSecurity #LazarusGroup #HackerAlert #Web3Security #dyor
