Kaspersky виявила новий фреймворк шкідливого ПЗ, націлений на інвесторів у криптовалюту, у середньому звіті в середу. Отримавши назву OkoBot, шкідливе ПЗ запускає ланцюжок зараження через тактики соціальної інженерії, зокрема ClickFix, який підштовхує користувачів до виконання шкідливих команд, або підмінені (троянізовані) застосунки для GitHub, що доставляють бекдор на заражені пристрої. Kaspersky визначила кілька атак із використанням цього сімейства шкідливого ПЗ з січня 2026 року. Шкідливе ПЗ може вилучати файли криптовалютних гаманців, дані браузера й облікові дані користувачів, впроваджувати шкідливі розширення та перехоплювати вікна застосунків гаманців, щоб викрадати активи. Фреймворк шкідливого ПЗ еволюціонував від TookPS — кампанії шкідливого ПЗ, вперше виявленої в 2025 році, яка поширювала троян-завантажувач через фальшиві вебсайти програм.
Фреймворк OkoBot працює через архітектуру SSH-тунелю
OkoBot відрізняється від попередніх кампаній тим, що керує всіма 20 шкідливими корисними навантаженнями через SSH-тунель, який дає змогу дистанційно передавати дані з заражених комп’ютерів на віддалені машини, контрольовані зловмисниками. Kaspersky додала, що фреймворк відкриває двері для атак-повторів.
![Original OkoBot infection chain. Source: Kaspersky]()
Фальшиві кампанії у LinkedIn націлені на розробників Web3 через шкідливі репозиторії GitHub
Окрема кампанія шкідливого ПЗ намагається проникнути в пристрої розробників Web3 через фальшиві можливості найму у LinkedIn, за даними SlowMist. Зловмисники зв’язуються з розробниками блокчейну через LinkedIn, видаючи себе за рекрутерів Web3, повідомила компанія з безпеки блокчейну у звіті в суботу. Далі вони надсилають жертвам фальшиві репозиторії GitHub, стверджуючи, що там міститься мінімально життєздатний продукт, який потрібно спробувати перед співбесідою.
Процес дуже схожий на легітимну технічну співбесіду, де розробники підтягують код, встановлюють залежності й запускають проєкт, що ускладнює помітити атаку, за словами SlowMist. Шкідливе ПЗ прагне доставити повноцінний троян віддаленого доступу, який заражає пристрої, даючи зловмисникам змогу викрадати ключі проєкту, хмарні облікові дані або дані розширення гаманця з цих розробників.
SlowMist зазначила, що ця атака не є поодиноким випадком: нещодавні інциденти показують, що зловмисники дедалі частіше використовують сценарії на кшталт найму, code review і співпраці над проєктами, щоб змусити розробників активно запускати шкідливі репозиторії. Звіт з’явився через день після того, як SlowMist попередила про окрему кампанію шкідливого ПЗ, спрямовану на користувачів macOS: її мета — викрасти їхні облікові дані та перехопити сесії Telegram, щоб зрештою обманом змусити інвесторів ввести фрази для відновлення гаманця через фальшиві вебсайти.
FAQ
Що таке шкідливе ПЗ OkoBot і коли його виявили?
OkoBot — це фреймворк шкідливого ПЗ, націлений на інвесторів у криптовалюту, який Kaspersky виявила у звіті в середу. Kaspersky визначила кілька атак із використанням цього сімейства шкідливого ПЗ з січня 2026 року. Шкідливе ПЗ ініціює зараження через тактики соціальної інженерії, зокрема ClickFix або троянізовані застосунки GitHub, і може викрадати файли криптовалютних гаманців, дані браузера, облікові дані користувачів, впроваджувати шкідливі розширення та перехоплювати вікна застосунків гаманців.
Як фальшиві рекрутингові кампанії у LinkedIn націлюються на розробників Web3?
Зловмисники зв’язуються з розробниками блокчейну через LinkedIn, видаючи себе за рекрутерів Web3, за даними суботнього звіту SlowMist. Вони надсилають жертвам фальшиві репозиторії GitHub, стверджуючи, що там міститься мінімально життєздатний продукт, який потрібно спробувати перед співбесідою. Процес нагадує легітимну технічну співбесіду, де розробники підтягують код, встановлюють залежності й запускають проєкт, через що атаку складно помітити. Шкідливе ПЗ доставляє троян віддаленого доступу, який викрадає ключі проєкту, хмарні облікові дані або дані розширення гаманця.