Programiści Pythona i Javasript na celowniku. Uważaj na takie oferty pracy

Północnokoreańscy hakerzy atakują programistów pod przykrywką rekrutacji – nowa kampania cyberataków wymierzona w specjalistów od Pythona i JavaScript.

Północnokoreańska grupa hakerska Slow Pisces – znana również jako Jade Sleet, PUKCHONG, TraderTraitor i UNC4899 – prowadzi precyzyjnie zaplanowaną kampanię wymierzoną w programistów pracujących przy projektach web3. Głównym celem są twórcy kodu w językach Python i JavaScript, kluczowych dla rozwoju nowoczesnych aplikacji internetowych.

Atak rozpoczyna się niewinnie – od wiadomości na LinkedIn. Hakerzy podszywają się pod rekruterów, oferując dobrze płatne zlecenie lub propozycję pracy. Osoba zainteresowana otrzymuje zadanie testowe, które wymaga pobrania i uruchomienia rzekomego projektu programistycznego. W rzeczywistości repozytorium zawiera złośliwe oprogramowanie – trojana działającego w dwóch etapach.

Jak podaje Palo Alto Networks Unit 42, cyberprzestępcy wykorzystują dwa główne narzędzia: RN Loader oraz RN Stealer. Pierwszy z nich odpowiada za zbieranie danych o systemie ofiary, drugi – za kradzież cennych informacji, takich jak klucze SSH, dane chmurowe (AWS, Google Cloud, Kubernetes), zawartość katalogów domowych, a nawet metadane systemowe.

Rekrutacja z ukryta zawartością 

Obecna kampania jest kontynuacją wcześniejszych działań tej samej grupy, która w 2025 roku przeprowadziła udany atak na jedną z największych giełd kryptowalut – Bybit. Ofiarą padli wtedy wewnętrzni deweloperzy firmy.

Podobne metody były obserwowane już w 2023 roku, gdy GitHub alarmował o złośliwych paczkach npm krążących w środowisku blockchain i hazardowym. Rok później firma Mandiant opisała z kolei technikę wykorzystującą spreparowane dokumenty PDF z ofertą pracy oraz fałszywe repozytoria GitHub zawierające spreparowane projekty rzekomo służące do śledzenia kursów kryptowalut.

Nowa kampania zachowuje ten sam schemat – ofiary są starannie dobierane. Hakerzy oceniają je na podstawie danych takich jak adres IP, geolokalizacja, strefa czasowa czy nagłówki HTTP. Po uruchomieniu testowego projektu dochodzi do deserializacji danych w formacie YAML (w przypadku Pythona) lub wykorzystania technologii Embedded JavaScript (EJS), która ukrywa wykonywanie poleceń z serwera dowodzenia (C2).

Kod jak każdy inny – tylko że szkodliwy

Fałszywe repozytoria wyglądają na autentyczne i zawierają kod skopiowany z istniejących projektów typu open source. Mogą to być dashboardy do przeglądania kursów giełdowych, narzędzia meteorologiczne lub aplikacje analizujące dane z europejskich lig piłkarskich. Z pozoru nie wzbudzają podejrzeń.

W rzeczywistości jednak zawierają subtelne mechanizmy umożliwiające zdalne wykonanie kodu. W przypadku Pythona to właśnie deserializacja YAML – omijająca popularne, łatwe do wykrycia funkcje eval czy exec. W projektach JavaScript – złośliwe dane przesyłane są za pośrednictwem szablonów EJS, trafiając bezpośrednio do funkcji ejs.render(). „To podejście jest mistrzowsko wyważone. Z jednej strony wygląda jak zwykłe zadanie rekrutacyjne, z drugiej – jest technicznie zaawansowane i trudne do wykrycia” – komentują eksperci.

Hakerzy inwestują w jakość i unikanie wykrycia

Eksperci z Unit 42 zwracają uwagę na fakt, że grupa Slow Pisces wciąż udoskonala swoje techniki. Modyfikowane są nie tylko narzędzia, ale też przynęty i repozytoria. Priorytetem jest unikanie wykrycia przez specjalistów od cyberbezpieczeństwa – dlatego złośliwe oprogramowanie wysyłane jest wyłącznie do starannie wyselekcjonowanych osób.

Na chwilę obecną potwierdzono, że RN Stealer jest w stanie działać skutecznie w systemie macOS, a kradzione dane są następnie analizowane pod kątem przydatności – hakerzy oceniają, czy warto „pogłębić” włamanie. Co ciekawe, nie ma jeszcze potwierdzenia, jakie dokładnie dane udaje się pozyskać w przypadku projektów JavaScript, co sugeruje dalsze badania nad tym modułem.

Nie tylko Python i JavaScript są celem – w sieci odnaleziono również fałszywe projekty w języku Java, choć jest ich znacznie mniej. Zdaniem ekspertów, wybór języka zależy od bieżących potrzeb operacyjnych grupy, której nadrzędnym celem pozostaje kradzież danych kryptowalutowych i ich monetyzacja.

Eksperci ostrzegają: każda wiadomość z LinkedIn, każdy „test kompetencji” może dziś oznaczać próbę włamania.