Если вы работаете с криптой, Web3 или просто программируете на Python и JavaScript, у киберпреступников на вас может быть свой план. Под видом безобидного предложения о работе к вам могут обратиться вовсе не HR-специалисты, а участники хорошо организованной хакерской операции с корнями в Северной Корее.
Знакомьтесь: Slow Pisces.
По данным аналитиков из подразделения Unit 42 компании Palo Alto Networks, речь идёт о группировке, известной под множеством имён: Slow Pisces, Jade Sleet, TraderTraitor, UNC4899. Названий много — цель одна: обманом получить доступ к системам разработчиков, связанных с Web3 и криптовалютами.
Идея проста, но эффективна. Через LinkedIn хакеры выходят на контакт с программистами, представляясь представителями технологических компаний. После короткого диалога предлагают выполнить «тестовое задание». Что дальше? Вам присылают проект на GitHub — якобы для оценки ваших навыков. На деле — это замаскированное вредоносное ПО.
Тестовое задание, которое тестирует вас.
В архивах «тестов» скрываются такие инструменты, как RN Loader и RN Stealer — вредоносные компоненты, которые запускаются при открытии файла. Один занимается шпионажем, другой — кражей данных. Причём активация вредоносной логики может зависеть от IP-адреса жертвы, геолокации или часового пояса — чтобы скрыть следы от западных экспертов по безопасности.
Такой подход делает атаки точечными и сложными для обнаружения.
И всё это — не теория.
Группировка Slow Pisces не просто собирает информацию «в стол». По данным экспертов, именно они стоят за взломом криптобиржи Bybit в феврале 2025 года. Это не просто атака — это операция с чёткой логистикой, подготовкой и реализацией.
В прошлом эти же хакеры засветились в докладах GitHub и Mandiant, где фиксировались попытки атак на специалистов в области блокчейна, азартных онлайн-игр и кибербезопасности. Один из любимых трюков — прислать PDF с описанием вакансии, а затем предложить скачать «демо-проект» — на деле ловушку.
Что делать разработчику?
Если вам пишут в LinkedIn с заманчивым оффером и сразу предлагают «проверочное задание» с GitHub — семь раз проверьте, один раз скачайте. Обратите внимание:
- Профиль работодателя — настоящий ли он?
- Проект — от проверенного аккаунта?
- Есть ли в нём исполняемые файлы или подозрительные скрипты?
Если в архиве лежит что-то, кроме кода — это уже тревожный сигнал.
Северокорейские хакеры вышли на новый уровень: теперь они не ломают двери, а вежливо стучатся с предложением о работе. И именно поэтому их атаки особенно опасны — ведь цель не сервер, а человек.
Web3-разработчики, будьте на чеку. А если тестовое задание кажется слишком навороченным — возможно, вы уже его не сдаёте, а проходите отбор на роль жертвы.