Хакери, пов’язані з КНДР, застосовують тактику ClickFix для розповсюдження відомого шкідливого ПЗ BeaverTail та InvisibleFerret у рамках шахрайств із криптовалютними вакансіями. За даними дослідника GitLab Olivera Smitha, зловмисники зосередилися на маркетингових та трейдерських ролях у крипто- та роздрібних компаніях, на відміну від традиційного таргетингу розробників. Кампанія, відома як Contagious Interview (або Gwisin Gang), активна з грудня 2022 року і пов’язана з групою Lazarus.

BeaverTail, написаний на JavaScript, є інфостілером і завантажувачем для Python-бекдору InvisibleFerret. Раніше malware поширювався через підроблені npm-пакети та програми для відеоконференцій, як-от FCCCall. У травні 2025 року зафіксовано еволюцію: використання ClickFix для доставки BeaverTail у вигляді скомпільованих бінарників для Windows, macOS і Linux, створених за допомогою pkg та PyInstaller.

Атаки включають фейковий вебдодаток для найму на платформі Vercel, де рекламується робота в криптоорганізаціях, а жертви змушені пройти відеооцінку. Потім з’являється фейкова технічна помилка (наприклад, проблема з мікрофоном), і жертви виконують команди, що встановлюють спрощену версію BeaverTail через shell- або VBS-скрипти. Ця версія краде дані лише з восьми розширень браузера, на відміну від 22 у попередніх варіантах, і не зачіпає браузери, окрім Google Chrome.

Кампанія може бути тестовою, адже вразила лише 230 осіб у січні-березні 2025 року, імітуючи компанії, як-от Archblock і Robinhood. Зловмисники також аналізують кіберрозвідку через Validin, VirusTotal та Maltrail, щоб покращити свої операції.