Firma z branży cyberbezpieczeństwa Kaspersky zidentyfikowała nowy framework złośliwego oprogramowania zaprojektowany specjalnie do opróżniania portfeli kryptowalutowych. Wektor ataku opiera się na inżynierii społecznej i aplikacjach z trojanami umieszczonych na GitHubie.
Kampania, którą Kaspersky opisał w raporcie opublikowanym w piątek, wykorzystuje fałszywe wersje legalnych narzędzi kryptowalutowych. Ofiary są nakłaniane do pobrania złośliwego kodu, który podszywa się pod boty tradingowe, trackery portfolio lub oprogramowanie do zarządzania portfelem.
Po zainstalowaniu framework może przechwytywać dane ze schowka – podmieniając skopiowane adresy portfeli na te kontrolowane przez atakujących – oraz wykradać klucze prywatne przechowywane na urządzeniu. Kaspersky poinformował, że złośliwe oprogramowanie jest modułowe, co pozwala jego operatorom na wymianę ładunków bez konieczności przebudowywania całego łańcucha infekcji.
„To nie jest prosta operacja typu script kiddie” – zauważył zespół badawczy Kaspersky'ego w raporcie. „Framework wykazuje wyraźne planowanie. Atakujący celują w konkretną grupę odbiorców: osoby, które aktywnie zarządzają aktywami krypto i czują się komfortowo, instalując narzędzia open-źródło”.
Złośliwe oprogramowanie rozprzestrzenia się głównie poprzez repozytoria na GitHubie, które wyglądają na legalne. Niektóre z nich zgromadziły gwiazdki i forki, co sprawia, że wydają się godne zaufania. Inne są promowane za pośrednictwem grup na Telegramie i forów poświęconych kryptowalutom.
GitHub jest popularnym kanałem dystrybucji oprogramowania do handlu kryptowalutami, od integracji z agregatorami DEX po boty MEV. Dynamika platformy oparta na domyślnym zaufaniu działa na korzyść atakujących – repozytorium z ostatnimi commitami i responsywnie wyglądającą dokumentacją może zmylić nawet doświadczonych użytkowników.
Kaspersky nie wymienił konkretnych repozytoriów ani nie oszacował całkowitej liczby ofiar. Firma doradziła traderom, aby weryfikowali tożsamość autorów oprogramowania, sprawdzali podpisy cyfrowe i w miarę możliwości przeprowadzali operacje na portfelach na maszynach odizolowanych od sieci (air-gapped).
Dla traderów, którzy polegają na narzędziach firm trzecich, implikacje są proste: zainfekowana aplikacja może opróżnić portfel w ciągu kilku sekund. Nie jest wymagany żaden e-mail phishingowy ani fałszywa strona internetowa do sprawdzenia – atakujący jest już wewnątrz przepływu pracy użytkownika.
Modułowa budowa frameworka sugeruje, że przyszłe warianty mogą celować w komunikację z portfelami sprzętowymi lub wykorzystywać uprawnienia rozszerzeń przeglądarki. Kaspersky poinformował, że śledzi złośliwe oprogramowanie pod wewnętrzną nazwą kodową i spodziewa się, że operatorzy będą kontynuować udoskonalanie kodu.
Inwestorzy kryptowalutowi powinni traktować każdy plik pobrany z GitHuba jako potencjalne ryzyko. Najbezpieczniejsze podejście: open-źródło nie oznacza bezpieczeństwa. Należy samodzielnie audytować kod, uruchamiać go najpierw w środowisku testowym (sandbox) lub trzymać się dobrze znanych, zaudytowanych narzędzi od uznanych deweloperów.
Kaspersky: fałszywe aplikacje krypto na GitHub mogą opróżniać portfele
Firma Kaspersky zidentyfikowała złośliwe oprogramowanie rozpowszechniane przez fałszywe wersje botów tradingowych, trackerów portfolio i narzędzi do portfeli na GitHub. Po instalacji może ono podmieniać skopiowane adresy portfeli na adresy atakujących i kraść klucze prywatne, narażając kryptowaluty użytkowników na ryzyko.