TL;DR

• Вам приходит письмо с «вкусной» вакансией Web3-разработчика.

• После короткой переписки «работодатель» назначает интервью.

• Перед интервью просят установить «корпоративное приложение» или «учебный софт».

• На деле приложение крадёт приватные ключи от кошельков и доступы к аккаунтам.

Вывод:

• Не скачивайте сторонние приложения на рабочий компьютер.

• Делайте ресерч работодателя (Grok, ChatGPT или любой другой инструмент может помочь).

• Если уж решились скачать — только на чистую виртуальную машину.

Как всё началось

Я — Solidity-инженер, моё резюме лежит на нескольких площадках.
Пару дней назад я получил вот такое письмо:

From: Edward Lindemann

Hi,

I’m Edward, CTO at nowsync.app—a smart teamwork platform trusted by over 100,000 users worldwide. We’re on a mission to transform how teams collaborate and manage workflows. We’re currently hiring a Full Stack Web3 & Smart Contract Developer to architect and build next-generation smart contracts for payroll automation.
If you thrive on technical challenges and want to be part of a rapidly scaling product, I’d love to connect!

What you’ll do:
• Develop robust, secure payroll smart contracts (Solidity/EVM or comparable).
• Collaborate with a dynamic product team.
• Shape the future of remote work tools.

Interested? Reply to this email with your recent portfolio or GitHub. We’re moving fast—let’s chat!

Best regards,

Edward Lindemann | CTO | X | Medium | App

Сайт выглядел аккуратно и профессионально. Я решил ответить.

Второе письмо

В ответ получил следующее:

From: Edward Lindemann

Hi Slavik,

Thank you for sharing your extended portfolio and getting back to us and showing interest in the Full Stack Web3 & Smart Contract Developer role at nowsync.app!

Here’s what happens next:

Brief Introduction Call: Let’s schedule a quick 20-minute call to introduce ourselves, discuss your experience, and share more about our vision and team. You can pick a time that works best for you here: https://calendly.com/ralf-frede

Project Overview & Your Role: On the call, we’ll walk you through the technical roadmap—including our smart contract payroll project and expected challenges—so you can see the kind of impact you’ll have.

Portfolio or Code Samples: If you haven’t already, please share links to relevant projects, a GitHub profile, or describe your smart contract/payroll experience in a few sentences.

If you have any questions ahead of our call, feel free to let me know. Looking forward to meeting you and exploring how we could work together!

Best regards,

Edward Lindemann | CTO | X | Medium | App

И вот тут меня впервые насторожило: почему CTO лично ведёт переписку и назначает звонок через Calendly?
Обычно подобное делают рекрутеры или HR.

Ресерч компании

После второго письма я решил копнуть глубже:

1. Сайт сделан аккуратно, но на нём нет информации о команде и контактах.

2. В LinkedIn нет Edward Lindemann и вообще сотрудников NowSync.

3. В сети нет независимых отзывов — ни клиентов, ни сотрудников, ни обсуждений.

4. Все посты в Medium и X/Twitter — их собственные, внешних подтверждений нет.

Параллельно я проверил установочный файл их приложения через VirusTotal — и несколько движков отметили его как возможное вредоносное ПО.

Финальное письмо

И вот сегодня утром я получил третье письмо:

From: Edward Lindemann

Hi,

Thank you for scheduling a call for tomorrow — I’m looking forward to speaking with you. To get the most out of our conversation, it’s important that you review and explore our platform in advance. This will help you better understand our product, user experience, and technical challenges.

Instructions:
Please set up the NowSync app prior to our call.
Use the following personal guest invite link to sign up and join:
https://nowsync.app/workspace/73966482-c453-4808-815d-ad638efbf331

Register with your email address to access the workspace and start exploring the app’s core features.
If you have any issues with setup or questions while onboarding, let me know and I’ll be happy to assist.

Looking forward to your feedback on the app and our upcoming discussion.

Best regards,

Edward Lindemann | CTO | X | Medium | App

И тут всё стало окончательно ясно:
основная цель схемы — заставить вас установить их приложение, чтобы украсть приватные ключи, сид-фразы и токены доступа.

Что удалось выяснить про NowSync.app

• Домен зарегистрирован только в декабре 2024.

• WHOIS скрыт за анонимным прокси.

• Компания Nowinsync Limited в реестре UK существует, но о ней нет вообще никаких упоминаний.

• На сайте написано, что ими «пользуются 100,000 компаний», но доказательств нет.

• Независимых отзывов или упоминаний в СМИ нет.

• Проверка приложения онлайн-антивирусами выявила возможный malware.

Как себя защитить

1. Не скачивайте непроверенный софт на основной компьютер.

2. Делайте быстрый ресерч:

   • пробейте сотрудников компании в LinkedIn;

   • ищите упоминания компании на Reddit, Twitter, форумах;

   • проверяйте сайт через Whois, ScamAdviser и другие источники.

3. Если уж хотите проверить приложение — запускайте его только в чистой виртуалке.

4. Прогоняйте установочные файлы через VirusTotal или другой онлайн-антивирус.

5. Если хоть что-то выглядит подозрительно — откажитесь от общения.

Вывод

Это новая волна фишинга, нацеленного на Web3-разработчиков.
Мошенники делают профессионально выглядящие сайты, создают фейковые вакансии и под видом интервью подсаживают на установку вредоносного софта.

Коллеги!

• Берегите свои приватные ключи и сид-фразы.

• Не скачивайте «корпоративные приложения» от неизвестных компаний.

• Проверяйте работодателей, даже если предложение выглядит идеальным.