JobPath

JobPath

К блогу
поиск работыбезопасностьразбор

Как понять, что вакансия — скам: мошенники в IT в 2026

Чем тяжелее рынок, тем активнее мошенники. В IT появился отдельный опасный класс: фейковые рекрутёры, которые под видом тестового задания ставят стиллер и за минуту выносят все пароли и крипто-кошелёк. Разбираем и бытовые схемы, и эту техническую — на неё попадаются даже опытные разработчики.

29 июня 2026 г.8 мин чтенияКоманда JobPath

Чем тяжелее рынок, тем активнее мошенники — люди в стрессе теряют бдительность. По оценкам, на «серых» площадках до трети вакансий это фейк или сбор данных, а IT и финансы у аферистов в приоритете. Но если раньше речь шла в основном про предоплату и кражу паспорта, то в IT появился отдельный, куда более опасный класс: фейковые рекрутёры, которые под видом тестового задания ставят тебе стиллер и за минуту выносят все пароли и крипто-кошелёк.

Разберём и бытовые схемы, и эту техническую — потому что именно на вторую попадаются даже опытные разработчики.

Бытовые схемы: короткий список

Начнём с классики, которую видно сразу.

СхемаКак выглядитСтоп-сигнал
ПредоплатаПросят заплатить за обучение, «карту для зарплаты», оформление, курьераЛюбая просьба заплатить = развод, точка
Кража данныхНа раннем этапе требуют скан паспорта, данные или фото картыНастоящий работодатель просит это только после оформления
Telegram и личкаВнезапно пишут в мессенджер, ведут в бота с «вакансией»Компании не нанимают через случайные сообщения
Работа за отзывыПлатят за лайки, потом просят внести свой депозитЛюбой «депозит», чтобы начать зарабатывать
Тестовое как бесплатный трудДают реальную задачу их бизнеса под видом тестаТест похож на готовый рабочий проект, фидбэка нет
Слишком хорошоОгромная ЗП за размытую роль плюс «выходи завтра»Зарплата выше рынка в связке со срочностью

Правило поверх всей таблицы: работодатель никогда не просит у тебя денег и данных карты. Уже одно это отсекает большую часть скама.

Главная опасность для разработчика: малварь в тестовом задании

Теперь то, ради чего стоит читать эту статью. Это не про доверчивых новичков — на это ловят senior-инженеров, потому что схема мимикрирует под нормальный рабочий процесс. Кампанию отслеживают под именем Contagious Interview, за ней стоит группировка, связанная с КНДР, активна она с 2022 года, а в 2026 пошла новой волной. Выглядит так:

  • В LinkedIn пишет «рекрутёр» — свежий профиль, крипто/Web3 или AI-компания, удалёнка, приятная зарплата, правдоподобный стек.
  • Переписка тянется несколько дней, чтобы втереться в доверие. Всё вежливо и по делу.
  • Перед «техническим интервью» просят сделать «code review» или небольшое тестовое: склонировать репозиторий с GitHub или поставить npm/PyPI-пакет и запустить локально. Для фронтендера поднять проект — обычное дело, поэтому подвоха не ждёшь.
  • В репозитории или зависимости спрятана малварь. Прячут её в трёх типовых местах: в lifecycle-скриптах npm (preinstall, postinstall, prepare), которые запускаются сами при npm install; в зависимостях-двойниках с тайпосквоттингом (имена вроде bigmathutils, graphalgo, похожие на нормальные библиотеки); и в файле .vscode/tasks.json, который стартует просто при открытии папки как workspace в VS Code.
  • Дальше отрабатывает связка BeaverTail и InvisibleFerret. Первый — инфостиллер: тянет данные браузера, cookies, сохранённые пароли и содержимое крипто-кошельков вроде MetaMask. Второй — бэкдор с удалённым доступом, кражей файлов и скриншотами.

Масштаб не игрушечный. В одной волне 2026 нашли 35 вредоносных npm-пакетов с 4000+ загрузок. А в разобранном кейсе малварь собрала 634 сохранённых пароля Chrome, данные macOS keychain и кошелёк MetaMask за 56 секунд. Ты ещё думаешь, что «просто запустил тестовое», а креды уже уехали.

Есть и вторая версия — через фейковый созвон, её называют ClickFix. Во время «интервью» или демо возникает «ошибка»: просят вставить команду в терминал, чтобы «починить микрофон», или пройти «капчу» через командную строку. Ты сам копируешь и выполняешь команду — и сам запускаешь fileless-малварь, в обход антивируса. За 2025 таких атак стало кратно больше.

Как защититься разработчику

Хорошая новость: техническая схема ломается несколькими привычками.

  • Никогда не запускай чужое тестовое на рабочей машине. Только в изоляции: отдельная виртуалка или контейнер, без сохранённых паролей, без крипто-кошельков, без доступа к рабочим репозиториям. Заразили песочницу — не потерял ничего.
  • Смотри package.json перед установкой. Скрипты preinstall, postinstall, prepare — именно там прячут запуск. Сомневаешься — ставь с npm install --ignore-scripts.
  • Проверяй зависимости и .vscode/tasks.json. Незнакомые пакеты, похожие на популярные имена, и таски, которые срабатывают при открытии проекта, — главные точки заражения.
  • Не вставляй команды из «инструкций по починке созвона». Легитимный созвон не чинят вставкой команд в терминал или «капчей» через PowerShell. Это всегда атака.
  • Проси видеозвонок с рекрутёром. Фейки уходят от камеры или используют дипфейк — нестыковки заметны. Заодно проверь профиль: свежесозданный, мало связей, компания не подтверждается.
  • Держи крипту отдельно. Кошельки — на отдельном устройстве или на аппаратном кошельке, не на рабочем ноуте, где ты клонируешь чужие репозитории.

Как проверить работодателя за пять минут

Для любой подозрительной вакансии, не только с кодом. Загугли юридическое название компании со словами «отзывы», «развод», «обман». Проверь ИНН и ОГРН в ЕГРЮЛ на сайте ФНС — добросовестная компания их не скрывает. Почитай отзывы на Dream Job. Найди вакансию на официальном сайте компании и, если сомневаешься, позвони по общему номеру и уточни, реальный ли это рекрутёр.

Что делать, если уже попался

Действуй быстро. Дал данные карты — блокируй её и звони в банк. Ввёл пароли или коды — меняй пароли и включай двухфакторку везде. Проверь кредитную историю через Госуслуги. Заявление — в полицию, по трудовой части в Роструд.

А если ты запустил чужой код или пакет — считай машину скомпрометированной. Отключи её от сети, смени все пароли с чистого устройства, ротируй SSH- и API-ключи, GitHub-токены, выведи крипту на новый кошелёк и переустанови систему. Полумеры тут не работают: стиллер мог унести всё за те самые пятьдесят шесть секунд.

Как снизить риск на входе

Проще всего меньше пересекаться со скамом — искать на модерируемых площадках, а не переходить по вакансиям из случайных личек и ботов. Автоотклики JobPath работают только с реальными вакансиями hh по твоим фильтрам, так что приглашения приходят от компаний с площадки, где есть модерация и профиль работодателя, а не от «рекрутёра», который через два сообщения просит склонировать репозиторий. Меньше ручного контакта с сомнительными источниками — меньше шансов нарваться.

Вывод

Скам-вакансий стало больше, и в IT они эволюционировали от «заплати за оформление» до малвари в тестовом задании. Держи в голове два правила: работодатель никогда не просит денег и данных карты, и чужой код никогда не запускается на твоей основной машине. Плюс пять минут на проверку компании. Этого достаточно, чтобы не отдать мошенникам ни деньги, ни пароли, ни кошелёк.

Попробовать безопасный поиск с автооткликами по модерируемым вакансиям — бесплатно на jobpath.world.

Читайте также

Мы используем cookies

Мы используем cookies для улучшения работы сайта и персонализации контента. Подробнее