Uważaj na oferty pracy: cyberprzestępcy polują na programistów Pythona i JavaScript

Północnokoreańscy hakerzy podszywają się pod rekruterów i atakują programistów Pythona i JavaScript. Oferty pracy mogą prowadzić do kradzieży danych i infekcji złośliwym oprogramowaniem.

Północnokoreańska grupa hakerów o nazwie Slow Pisces znalazła nowy sposób na atakowanie programistów. Podszywają się pod rekruterów w serwisie LinkedIn i proponują atrakcyjne oferty pracy. Jeśli dasz się skusić i pobierzesz plik z tzw. projektem testowym, możesz nieświadomie zainstalować groźnego wirusa.

Po pobraniu i uruchomieniu :zadania rekrutacyjnego komputer zostaje zainfekowany:. Złośliwe oprogramowanie potrafi wykraść klucze do chmury, dane logowania, a nawet zawartość katalogów domowych. Atakujący korzystają z narzędzi takich jak RN Loader i RN Stealer. Dzięki nim mogą przejąć kontrolę nad komputerem, wykradać informacje i omijać zabezpieczenia. Takie działania były już wykorzystywane podczas ataku na giełdę kryptowalut Bybit w 2025 roku.

Fałszywe projekty wyglądają jak zwykłe aplikacje, na przykład narzędzia do śledzenia kursów giełdowych czy pogodowych. W rzeczywistości zawierają ukryte mechanizmy, które pozwalają hakerom na zdalne wykonanie kodu i kradzież danych.

Grupa Slow Pisces, znana również pod nazwami Jade Sleet, TraderTraitor i PUKCHONG, to północnokoreańska grupa, która od kilku lat specjalizuje się m.in. w atakach na branżę kryptowalut. Grupa ma na koncie spektakularne kradzieże: w 2023 roku ukradli ponad miliard dolarów z giełd kryptowalut, a w 2024 roku FBI przypisało im kradzież 308 mln dolarów z firmy w Japonii oraz 1,5 mld dolarów z giełdy w Dubaju. Slow Pisces stosuje także inne techniki, m.in. infekuje popularne biblioteki NPM i przeprowadza ataki na łańcuchy dostaw oprogramowania.