На LinkedIn хакеры начали распространять вирус под видом тестового задания

Хакеры маскируют вирус под тестовое задание на LinkedIn: проект DLMind заражает ПК через GitHub-репозиторий и крадет данные разработчиков

Новости Tproger
Обложка: На LinkedIn хакеры начали распространять вирус под видом тестового задания

На LinkedIn началась новая кампания социальной инженерии, нацеленная на разработчиков.

Мошенники рассылают фейковые приглашения на работу от имени «ИИ-стартапа DLMind», предлагая пройти «техническое тестовое задание». На деле за этим стоит многоступенчатая вредоносная атака, получившая название BeaverTail.

Сообщение выглядит безобидно: кандидат получает письмо от якобы HR-специалиста Тима Моренка (Tim Morenc, CEDS) с предложением выполнить задание в GitHub-репозитории проекта AI-Healthcare. В инструкции сказано:

«Клонируйте репозиторий, установите зависимости и запустите сборку. Затем поделитесь впечатлениями от кода»

Но при запуске скрипта выполняется скрытый бэкдор, который устанавливает вирусную цепочку из пяти стадий.

Как работает атака

BeaverTail выглядит как реальный Next.js-проект, однако внутри скрыт код, который:

  • сканирует .env и конфигурационные файлы на предмет API-ключей и токенов;
  • крадет сохраненные пароли и cookie браузеров;
  • перехватывает буфер обмена и клавиатуру;
  • создает скрытое подключение к управляющему серверу через WebSocket;
  • устанавливает AnyDesk-бэкдор для удаленного доступа.

Малварь разворачивается в несколько этапов: сначала загружается JavaScript-стилер, затем — Python-компоненты с функциями кейлоггера и удаленного управления.

На финальной стадии система заражается модифицированной версией AnyDesk, которая дает злоумышленникам полный визуальный контроль над устройством.

Почему это опасно

BeaverTail рассчитан на доверчивость разработчиков.

Хакеры тщательно выстроили легенду — LinkedIn-профиль «рекрутера» выглядит профессионально, с фото, описанием опыта и общими контактами.

GitHub-репозиторий оформлен как реальный проект с документацией и README.

Эксперты по кибербезопасности предупреждают: атака направлена не только на кражу личных данных, но и на компрометацию корпоративных инфраструктур, если жертва использует рабочие аккаунты или VPN-доступ.

Что делать

Если вы получили сообщение от Тима Моренка или приглашение от компании DLMind, не переходите по ссылкам и не запускайте код из их репозиториев. Рекомендуется проверить систему на вирусы, сменить пароли и аннулировать токены API-доступа.

Следите за новыми постами
Следите за новыми постами по любимым темам
Рекомендуем

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter