Как понять, что вакансия — скам: мошенники в IT в 2026
Чем тяжелее рынок, тем активнее мошенники. В IT появился отдельный опасный класс: фейковые рекрутёры, которые под видом тестового задания ставят стиллер и за минуту выносят все пароли и крипто-кошелёк. Разбираем и бытовые схемы, и эту техническую — на неё попадаются даже опытные разработчики.

Чем тяжелее рынок, тем активнее мошенники — люди в стрессе теряют бдительность. По оценкам, на «серых» площадках до трети вакансий это фейк или сбор данных, а IT и финансы у аферистов в приоритете. Но если раньше речь шла в основном про предоплату и кражу паспорта, то в IT появился отдельный, куда более опасный класс: фейковые рекрутёры, которые под видом тестового задания ставят тебе стиллер и за минуту выносят все пароли и крипто-кошелёк.
Разберём и бытовые схемы, и эту техническую — потому что именно на вторую попадаются даже опытные разработчики.
Бытовые схемы: короткий список
Начнём с классики, которую видно сразу.
| Схема | Как выглядит | Стоп-сигнал |
|---|---|---|
| Предоплата | Просят заплатить за обучение, «карту для зарплаты», оформление, курьера | Любая просьба заплатить = развод, точка |
| Кража данных | На раннем этапе требуют скан паспорта, данные или фото карты | Настоящий работодатель просит это только после оформления |
| Telegram и личка | Внезапно пишут в мессенджер, ведут в бота с «вакансией» | Компании не нанимают через случайные сообщения |
| Работа за отзывы | Платят за лайки, потом просят внести свой депозит | Любой «депозит», чтобы начать зарабатывать |
| Тестовое как бесплатный труд | Дают реальную задачу их бизнеса под видом теста | Тест похож на готовый рабочий проект, фидбэка нет |
| Слишком хорошо | Огромная ЗП за размытую роль плюс «выходи завтра» | Зарплата выше рынка в связке со срочностью |
Правило поверх всей таблицы: работодатель никогда не просит у тебя денег и данных карты. Уже одно это отсекает большую часть скама.
Главная опасность для разработчика: малварь в тестовом задании
Теперь то, ради чего стоит читать эту статью. Это не про доверчивых новичков — на это ловят senior-инженеров, потому что схема мимикрирует под нормальный рабочий процесс. Кампанию отслеживают под именем Contagious Interview, за ней стоит группировка, связанная с КНДР, активна она с 2022 года, а в 2026 пошла новой волной. Выглядит так:
- В LinkedIn пишет «рекрутёр» — свежий профиль, крипто/Web3 или AI-компания, удалёнка, приятная зарплата, правдоподобный стек.
- Переписка тянется несколько дней, чтобы втереться в доверие. Всё вежливо и по делу.
- Перед «техническим интервью» просят сделать «code review» или небольшое тестовое: склонировать репозиторий с GitHub или поставить npm/PyPI-пакет и запустить локально. Для фронтендера поднять проект — обычное дело, поэтому подвоха не ждёшь.
- В репозитории или зависимости спрятана малварь. Прячут её в трёх типовых местах: в lifecycle-скриптах npm (
preinstall,postinstall,prepare), которые запускаются сами приnpm install; в зависимостях-двойниках с тайпосквоттингом (имена вродеbigmathutils,graphalgo, похожие на нормальные библиотеки); и в файле.vscode/tasks.json, который стартует просто при открытии папки как workspace в VS Code. - Дальше отрабатывает связка BeaverTail и InvisibleFerret. Первый — инфостиллер: тянет данные браузера, cookies, сохранённые пароли и содержимое крипто-кошельков вроде MetaMask. Второй — бэкдор с удалённым доступом, кражей файлов и скриншотами.
Масштаб не игрушечный. В одной волне 2026 нашли 35 вредоносных npm-пакетов с 4000+ загрузок. А в разобранном кейсе малварь собрала 634 сохранённых пароля Chrome, данные macOS keychain и кошелёк MetaMask за 56 секунд. Ты ещё думаешь, что «просто запустил тестовое», а креды уже уехали.
Есть и вторая версия — через фейковый созвон, её называют ClickFix. Во время «интервью» или демо возникает «ошибка»: просят вставить команду в терминал, чтобы «починить микрофон», или пройти «капчу» через командную строку. Ты сам копируешь и выполняешь команду — и сам запускаешь fileless-малварь, в обход антивируса. За 2025 таких атак стало кратно больше.
Как защититься разработчику
Хорошая новость: техническая схема ломается несколькими привычками.
- Никогда не запускай чужое тестовое на рабочей машине. Только в изоляции: отдельная виртуалка или контейнер, без сохранённых паролей, без крипто-кошельков, без доступа к рабочим репозиториям. Заразили песочницу — не потерял ничего.
- Смотри
package.jsonперед установкой. Скриптыpreinstall,postinstall,prepare— именно там прячут запуск. Сомневаешься — ставь сnpm install --ignore-scripts. - Проверяй зависимости и
.vscode/tasks.json. Незнакомые пакеты, похожие на популярные имена, и таски, которые срабатывают при открытии проекта, — главные точки заражения. - Не вставляй команды из «инструкций по починке созвона». Легитимный созвон не чинят вставкой команд в терминал или «капчей» через PowerShell. Это всегда атака.
- Проси видеозвонок с рекрутёром. Фейки уходят от камеры или используют дипфейк — нестыковки заметны. Заодно проверь профиль: свежесозданный, мало связей, компания не подтверждается.
- Держи крипту отдельно. Кошельки — на отдельном устройстве или на аппаратном кошельке, не на рабочем ноуте, где ты клонируешь чужие репозитории.
Как проверить работодателя за пять минут
Для любой подозрительной вакансии, не только с кодом. Загугли юридическое название компании со словами «отзывы», «развод», «обман». Проверь ИНН и ОГРН в ЕГРЮЛ на сайте ФНС — добросовестная компания их не скрывает. Почитай отзывы на Dream Job. Найди вакансию на официальном сайте компании и, если сомневаешься, позвони по общему номеру и уточни, реальный ли это рекрутёр.
Что делать, если уже попался
Действуй быстро. Дал данные карты — блокируй её и звони в банк. Ввёл пароли или коды — меняй пароли и включай двухфакторку везде. Проверь кредитную историю через Госуслуги. Заявление — в полицию, по трудовой части в Роструд.
А если ты запустил чужой код или пакет — считай машину скомпрометированной. Отключи её от сети, смени все пароли с чистого устройства, ротируй SSH- и API-ключи, GitHub-токены, выведи крипту на новый кошелёк и переустанови систему. Полумеры тут не работают: стиллер мог унести всё за те самые пятьдесят шесть секунд.
Как снизить риск на входе
Проще всего меньше пересекаться со скамом — искать на модерируемых площадках, а не переходить по вакансиям из случайных личек и ботов. Автоотклики JobPath работают только с реальными вакансиями hh по твоим фильтрам, так что приглашения приходят от компаний с площадки, где есть модерация и профиль работодателя, а не от «рекрутёра», который через два сообщения просит склонировать репозиторий. Меньше ручного контакта с сомнительными источниками — меньше шансов нарваться.
Вывод
Скам-вакансий стало больше, и в IT они эволюционировали от «заплати за оформление» до малвари в тестовом задании. Держи в голове два правила: работодатель никогда не просит денег и данных карты, и чужой код никогда не запускается на твоей основной машине. Плюс пять минут на проверку компании. Этого достаточно, чтобы не отдать мошенникам ни деньги, ни пароли, ни кошелёк.
Попробовать безопасный поиск с автооткликами по модерируемым вакансиям — бесплатно на jobpath.world.


