بدافزار OkoBot با ترفندهای مهندسی اجتماعی و مخزن های جعلی GitHub وارد عمل شده و کاربران کریپتو رو, هدف گرفته. این حمله چطور انجام میشه؟
بر اساس آخرین اخبار ارز دیجیتال، شرکت امنیت سایبری کسپراسکای (Kaspersky) از شناسایی یه چارچوب بدافزاری جدید خبر داده که سرمایه گذارهای ارز دیجیتال رو هدف گرفته. این بدافزار که OkoBot اسم داره، زنجیره آلودگی خودش رو با ترفندهای مهندسی اجتماعی مثل کلیک فیکس (ClickFix) شروع میکنه؛ روشی که کاربران رو فریب میده تا دستورهای مخرب اجرا کنن. مهاجم ها همچنین از برنامه های آلوده گیت هاب (GitHub) استفاده میکنن تا یه Backdoor روی دستگاه قربانی نصب کنن. کسپراسکای (Kaspersky) این اطلاعات رو در گزارشی که روز چهارشنبه منتشر کرده، اعلام کرده.
بدافزار OkoBot چگونه عمل میکند؟
بدافزار OkoBot بعد از آلوده شدن دستگاه، میتونه فایل های کیف پول ارز دیجیتال، اطلاعات مرورگر و اطلاعات ورود کاربران رو جمع آوری کنه. همچنین افزونه های مخرب رو به مرورگر اضافه میکنه و از پنجره برنامه های کیف پول تصویربرداری میکنه تا دارایی کاربران رو سرقت کنه. کسپراسکای گفته از ژانویه 2026 تاکنون چندین حمله با این خانواده بدافزاری شناسایی شده. این شرکت همچنین اعلام کرد OkoBot از کمپین بدافزاری TookPS که اولین بار در سال 2025 شناسایی شد، تکامل پیدا کرده و میتونه راه رو برای حمله های مشابه باز کنه. تفاوت این بدافزار با نمونه های قبلی اینه که هر 20 محموله مخرب خودش رو از طریق یه تونل SSH مدیریت میکنه و اطلاعات سیستم های آلوده رو به دستگاه های تحت کنترل مهاجم ها منتقل میکنه.

کمپین جدید علیه توسعه دهنده های Web3
بدافزار OkoBot تنها تهدید جدیدی نیست که شناسایی شده. شرکت امنیت بلاکچین اسلو میست (SlowMist) هم اعلام کرده یه کمپین بدافزاری جدید از طریق فرصت های استخدامی جعلی در لینکدین (LinkedIn)، توسعه دهنده های Web3 رو هدف گرفته. مهاجم ها خودشون رو به عنوان استخدام کننده Web3 معرفی میکنن و بعد مخزن های جعلی گیت هاب رو برای قربانی ها میفرستن و ادعا میکنن این مخزن ها شامل نسخه اولیه محصول (Minimum Viable Product) هست که قبل از مصاحبه باید اجرا بشه. اسلو میست میگه روند این حمله خیلی شبیه یه مصاحبه فنی واقعیه و همین موضوع تشخیصش رو سخت میکنه. هدف این بدافزار نصب یه Remote Access Trojan روی دستگاه قربانیه تا مهاجم ها بتونن کلیدهای پروژه، اطلاعات حساب های ابری یا داده های افزونه های کیف پول رو سرقت کنن.
این شرکت تاکید کرده این حمله یک مورد جداگانه نیست و مهاجم ها بیشتر از قبل از سناریوهایی مثل استخدام، بررسی کد و همکاری روی پروژه ها برای فریب توسعه دهنده ها استفاده میکنن. این گزارش یک روز بعد از هشدار اسلو میست درباره کمپین دیگه ای منتشر شد که کاربران macOS رو هدف گرفته بود و قصد داشت اطلاعات ورود، نشست های Telegram و در نهایت عبارت بازیابی کیف پول کاربران رو از طریق وب سایت های جعلی سرقت کنه. آشنایی با آموزش امنیت ارز دیجیتال میتونه به شناسایی این تهدیدها کمک کنه.