Как основатель Web3 стал жертвой печально известного северокорейского вредоносного ПО «BeaverTail»
Основатель Web3 Akshit Ostwal потерял $20K из-за вредоносного ПО BeaverTail из Северной Кореи в сложной крипто-мошенничестве, нацеленной на разработчиков.
Область Web3 недавно получила жесткое напоминание на этой неделе. Akshit Ostwal, соучредитель Epoch Protocol, потерял более $20,000 после того, как помог другу с, казалось бы, стандартным техническим собеседованием.
Этот инцидент лишь показывает продолжающуюся кампанию хакеров из Северной Кореи по целенаправленной атаке на тех, кто строит будущее интернета.
Как началась высокорисковая крипто-мошенничество
Проблема началась в прошлом году 18 декабря с простой просьбы от друга. Этот друг проходил собеседование на новую работу и попросил Ostwal проверить репозиторий кода.
Друг полагал, что код исходит от легитимного рекрутера крупной компании.
Ostwal хотел помочь и запустил сторонний код на своем локальном устройстве.
https://t.co/FCHfkGQdeA
— (AK) Akshit | Epoch Protocol 🦇🔊🛡️ (@OstwalAk) 8 января 2026
Этот акт доброжелательности открыл дверь для кампании «Заразительный собеседование», связанной с печально известной государственно спонсируемой группой Lazarus из Северной Кореи.
Вместо массового фишинга эти злоумышленники теперь используют высокотехнологичный социальный инженеринг, чтобы обмануть разработчиков и заставить их запускать поддельные файлы.
Анатомия атаки вредоносного ПО BeaverTail
Ostwal отметил в посте на X, что после запуска кода в его системе началась тихая цепочка заражений.
Эксперты по безопасности из Seal911 определили основного виновника как вредоносное ПО BeaverTail. Этот программный продукт на базе JavaScript часто используется вместе с вторым задним доступом под названием InvisibleFerret.
При использовании вместе они становятся практически неуязвимой парой для кражи криптовалюты в любой среде разработчика.
По словам Ostwal, вредоносное ПО работало в нескольких этапах:
Первый — автоматическое выполнение, когда как только запускался локальный сервер, начинала работать скрытая функция файла analytics.controller.js.
Затем скрипт немедленно отправлял системные переменные Ostwal злоумышленнику. В это входили чувствительные данные, такие как URL-адреса баз данных и приватные ключи.
Наконец, сервер злоумышленника возвращал вредоносный JavaScript, который выполнялся с правами root на зараженном устройстве.
Вскоре $20,000 исчезли без следа.
Почему крипто-мошенничество осталось незамеченным
Примечательно, что злоумышленники не переводили деньги сразу. Вместо этого они, вероятно, поддерживали задний доступ на устройстве Ostwal почти месяц. За это время они писали пользовательские скрипты для размягчения его DeFi портфеля.
Они также ждали идеального момента, чтобы «подчистить» все его активы одним транзакцией.
В конце концов, злоумышленники нацелились как на кошельки, совместимые с EVM, так и на аккаунты Solana.
Они использовали такие инструменты, как Near-Intents и Rubic Exchange, чтобы переместить украденные средства. Эта тактика «цепочечного прыжка» затрудняет следствие за деньгами через разные блокчейны.
Связанное чтение: Украдено $3.4 миллиарда: Северная Корея ведет рекордный $2 миллиардный год краж криптовалют
Рекордные масштабы краж Северной Кореи
Опыт Ostwal является частью масштабного роста киберпреступности. Данные из отчета Crypto Crime Report 2026 показывают, что хакеры из Северной Кореи украли в прошлом году $2.02 миллиарда.
Эта цифра составляет большую часть из $3.4 миллиарда, потерянных в результате краж криптовалют по всему миру в прошлом году.
Кампания «Заразительный собеседование» оказалась чрезвычайно эффективной. Хакеры создают сотни вредоносных пакетов NPM и используют ИИ для генерации ответов на собеседования, звучащих как человеческие.
Другими словами, они фактически превратили рынок труда в минное поле для программистов.