Исследователи SlowMist опубликовали предупреждение о новом способе атак на специалистов сектора Web3. Один из участников сообщества рассказал, что при собеседовании с командой, представившейся выходцами из Украины, на первом этапе его попросили клонировать репозиторий с GitHub. Он отказался, что впоследствии позволило ему выявить мошенническую схему.
Проверка показала, что указанный репозиторий содержал вредоносный код. После клонирования и запуска он подгружал «зависимость» rtk-logger версии 1.11.5, созданную 8 августа 2025 года. Этот компонент предназначался для скрытой установки вредоносного ПО на устройство жертвы.
Зараженное программное обеспечение собирало конфиденциальную информацию, включая данные из хранилища расширений браузера Chrome, возможные seed-фразы и сессионные токены. Затем эти сведения передавались на сервер злоумышленников. Такой подход позволяет атакующим напрямую получить доступ к криптокошелькам и аккаунтам жертвы.
В SlowMist подчеркнули, что данная схема стала примером «вакансии-ловушки». Под видом собеседования и выполнения тестового задания жертву фактически вынуждают запустить вредоносный код. Этот метод особенно опасен для специалистов, которые привыкли доверять открытым репозиториям на GitHub.
Эксперты рекомендуют всегда проверять источники и содержимое кода перед его загрузкой и запуском. Даже если задание выглядит простым и безопасным, оно может содержать скрытые зависимости, способные нанести серьезный ущерб.
Подобные атаки демонстрируют, что мошенники активно адаптируются, используя социальную инженерию и технические уязвимости одновременно. SlowMist советует проявлять повышенную осторожность при удаленных собеседованиях и избегать выполнения кода, полученного от незнакомых компаний.