Как меня попытались взломать под видом предложения CTO — и как это связано с Lazarus Group

Недавно я оказался в ситуации, которая одновременно показалась тревожной и профессионально интересной.

На первый взгляд — просто новое рабочее предложение, как сотни других в LinkedIn.
На деле — спланированная атака, похожая на те, что сейчас приписывают Lazarus Group, одной из самых известных киберпреступных группировок, работающих против специалистов в области финансов и технологий.

? Начало: “Хочешь поработать CTO?”

Обычное сообщение в LinkedIn: человек с правдоподобным профилем, указано «Supply Chain Finance | Europe, Middle East & Africa».
Короткий диалог, предложение рассмотреть роль CTO/CPO в “финтех-AI стартапе”.
Я, как всегда, осторожен, поэтому запросил NDA и технические материалы. NDA выслали, после чего дали доступ к GitHub-репозиторию:

https://github.com/wellsfargo-inc/MVP

Название выглядело солидно — и, как выяснилось позже, намеренно. Репозиторий имитировал корпоративный проект под известным брендом.

? Что внутри

После клонирования я провёл стандартную проверку:

✅ Современный стек — Vite + TypeScript + React + Node + Solidity
✅ Логичная структура проекта
✅ Реализация — вроде бы MVP площадки для токенизации реальных активов (RWA Marketplace)

Но быстро стало заметно несоответствие:
описание проекта (AI-финансы) и сам код (Web3-маркетплейс) не совпадали.
Тем не менее я собрал проект, чтобы понять, что он делает.

⚠️ Срабатывает EDR

После запуска мой CrowdStrike Falcon сработал мгновенно.

Он заблокировал процесс:

/Users/dm/.nvm/versions/node/v20.19.5/bin/node \
/Users/dm/Library/Application Support/.sysupdater.dat

Этот файл .sysupdater.dat запускался скрытно через Node.js и находился в пользовательской папке, где обычно никто не ищет вредонос.

Через несколько минут — повторная попытка запуска. Falcon снова заблокировал процесс.

? Анализ: обфусцированный JavaScript и следы ModStealer

Файл оказался большим (около 4,6 МБ), полностью обфусцированным JavaScript-бандлом.
В нём не было читаемых строк, только минифицированный код, упакованный в IIFE.
По поведению — типичный пример stealer-вредоноса.

Позже наш секьюрити-департамент подтвердил: это похоже на ModStealer, который:

• запускается через Node;

• создаёт “системные” файлы вроде .sysupdater.dat;

• прописывает персистентность через LaunchAgents (~/Library/LaunchAgents/…), чтобы стартовать при логине;

• тихо отправляет данные на C2-сервер;

• целится в криптокошельки, токены, браузерные сессии и ключи.

На этом этапе я изолировал машину, сохранил артефакты и удалил проект.

? Совпадение с расследованием OtterCookie (Lazarus Group)

Спустя несколько дней я наткнулся на свежий разбор от исследователей ANY.RUN —
“OtterCookie: Analysis of Lazarus Group Malware Targeting Finance and Tech Professionals”.

В нём описан сценарий, почти идентичный моему случаю:

• жертва получает оффер через LinkedIn (роль CTO/инженера);

• подписывает NDA;

• получает доступ к GitHub-репозиторию;

• внутри проекта — вредоносный код, который запускается при сборке;

• выполняется через Node или Python;

• создаёт незаметный агент, поддерживающий связь с C2 и крадущий данные.

Исследователи связали атаку с группировкой Lazarus, действующей под прикрытием “HR-рекрутеров” и “финтех-стартапов”.
Их цель — инженеры, CPO, CTO, специалисты Web3 и FinTech-компаний.

По сути, то, что произошло со мной, — один в один сценарий, описанный в анализе OtterCookie.

? Почему это важно

Это не “одиночный случай”, а новая волна атак, использующих социальную инженерию через профессиональные сети.
Механизм простой и гениальный:

доверие → контакт → NDA → код → запуск → кража

То, что раньше требовало фишинга, теперь выглядит как рабочий процесс между двумя профессионалами.

? Почему для меня это профессионально важно

Я уже много лет работаю на стыке продукта и технологий — как фаундер SaaS-компании, прошедший exit, и как CPO/CTO-on-demand, который помогает стартапам строить масштабируемые, безопасные и жизнеспособные продукты.

Мой опыт охватывает:

• финтех и Web3,

• маркетплейсы и SaaS,

• информационную безопасность (Huntli и другие проекты),

• аудит MVP и кодовых баз для инвесторов и фаундеров,

• построение продуктовых и инженерных команд.

Поэтому я оцениваю каждый проект не только как разработчик, но и как архитектор, стратег и “человек с due diligence мышлением”.

Этот случай — напоминание, зачем нужна такая насмотренность.
Именно опыт проверки чужих продуктов позволил мне вовремя заметить несоответствия и не попасть в ловушку.

?️ Что нужно помнить каждому разработчику и фаундеру

1. LinkedIn стал новым фронтом атак.
   Любое “предложение о работе” может быть вектором заражения.

2. Никогда не запускайте неизвестные репозитории на рабочей машине.
   Используйте виртуальные среды, контейнеры или песочницы.

3. Проверяйте package.json и postinstall-скрипты.
   Всё, что выполняется автоматически, может быть опасным.

4. Не храните seed-фразы и ключи на локальном устройстве.
   Только аппаратные кошельки и зашифрованные менеджеры.

5. Регулярно ротируйте токены и ключи.
   Особенно если вы тестируете сторонние продукты.

6. Проводите due-diligence даже для open-source.
   Чистый код ≠ безопасный код.

⚙️ Что делать, если подобное произошло

• Изолировать машину и отключить сеть

• Сохранить вредонос и логи (для форензики)

• Проверить ~/Library/LaunchAgents/ и удалить подозрительные plist

• Сделать полный антивирусный и EDR-скан

• Ротировать все ключи и пароли

• Сообщить в службу безопасности или в CERT

? Вместо заключения

Современные кибератаки — это не вирусы из 2000-х, а тщательно выстроенные человеческие сценарии доверия.
Им не нужно взламывать брандмауэр — достаточно, чтобы вы сами открыли проект.

И если даже опытный технический специалист может попасть в такую ловушку, представьте, сколько фаундеров, инженеров и аналитиков уже стали жертвами.

Поэтому делюсь этим кейсом не как “жертва”, а как практик — чтобы помочь другим не повторить ошибку.

Сегодня безопасность начинается не в коде, а в переписке.

—

Дмитрий Медведь (Dmytro Medvid)
СaaS-фаундер, CPO/CTO-on-demand, консультант по продукту и архитектуре.
Помогаю компаниям строить надёжные и масштабируемые технологии — безопасно.