Kaspersky обнаружила OkoBot: новый вредоносный фреймворк для атак на криптоинвесторов
Kaspersky сообщила о вредоносном фреймворке OkoBot, который атакует криптоинвесторов через социальную инженерию и зараженные приложения GitHub
Один основной источник · Как мы проверяем новости

Что произошло
Kaspersky обнаружила новый вредоносный фреймворк OkoBot, который нацелен на криптовалютных инвесторов.
Заражение начинается с социальной инженерии: среди упомянутых приемов — ClickFix, заставляющий пользователей запускать вредоносные команды. Также используются зараженные приложения GitHub, которые доставляют бэкдор на устройства жертв.
Как работает OkoBot
Вредоносное ПО способно собирать файлы криптокошельков, данные браузера и учетные данные пользователей. Кроме того, оно может внедрять вредоносные расширения и захватывать окна приложений кошельков для кражи активов.
Kaspersky заявила, что выявила несколько атак с участием этого семейства вредоносного ПО с января 2026 года.
По данным компании, OkoBot развился из TookPS — кампании, впервые выявленной в 2025 году. TookPS распространяла троянский загрузчик через поддельные сайты с программным обеспечением.
От прежних кампаний OkoBot отличается тем, что управляет всеми 20 вредоносными полезными нагрузками через SSH-туннель. Это позволяет удаленно передавать данные с зараженных компьютеров на машины, контролируемые атакующими.
Еще одна кампания против Web3-разработчиков
SlowMist отдельно сообщила о новой вредоносной кампании, которая пытается проникать на устройства Web3-разработчиков через фальшивые предложения о работе в LinkedIn.
Злоумышленники связываются с блокчейн-разработчиками через LinkedIn, выдавая себя за рекрутеров в сфере Web3. Затем они отправляют жертвам поддельные репозитории GitHub и утверждают, что там находится минимально жизнеспособный продукт, который нужно протестировать перед собеседованием.
Такая схема похожа на обычное техническое интервью: разработчик загружает код, устанавливает зависимости и запускает проект. Из-за этого атаку сложнее заметить.
Цель кампании — доставить полноценный троян удаленного доступа, который заражает устройства и позволяет похищать проектные ключи, облачные учетные данные или данные расширений кошельков.
Почему это важно
Обе кампании показывают, что атакующие используют доверенные для криптоиндустрии сценарии: GitHub, технические проверки, рекрутинг и работу с кодом. SlowMist отметила, что такие атаки не являются единичным случаем, а злоумышленники все чаще применяют рекрутинг, код-ревью и проектные коллаборации, чтобы заставить разработчиков запускать вредоносные репозитории.
Источники
Один основной источник. Как мы проверяем новости


