Назад к новостям

Kaspersky: фейковые крипто-приложения на GitHub опустошают кошельки

Компания по кибербезопасности Kaspersky обнаружила вредоносное ПО, распространяемое через поддельные версии торговых ботов, трекеров портфеля и кошельков на GitHub. После установки оно может подменять скопированные адреса кошельков на адреса злоумышленников и красть приватные ключи, подвергая криптовалюту пользователей риску.
Компания по кибербезопасности Kaspersky выявила новую вредоносную платформу, специально разработанную для опустошения криптовалютных кошельков. Вектор атаки основан на социальной инженерии и троянских приложениях, размещенных на GitHub.

Кампания, подробно описанная Kaspersky в отчете, опубликованном в пятницу, использует поддельные версии легитимных крипто-инструментов. Жертв обманом заставляют загружать вредоносный код, замаскированный под торговых ботов, трекеры портфеля или программное обеспечение для управления кошельками.

После установки платформа может перехватывать данные из буфера обмена – заменяя скопированные адреса кошельков на контролируемые злоумышленниками – и похищать приватные ключи, хранящиеся на устройстве. В Kaspersky заявили, что вредоносное ПО является модульным, что позволяет его операторам менять полезную нагрузку без перестройки всей цепочки заражения.

«Это не простая операция начинающих хакеров», – отметила исследовательская группа Kaspersky в отчете. «Платформа демонстрирует четкое планирование. Злоумышленники нацелены на конкретную аудиторию: людей, которые активно управляют криптоактивами и привыкли устанавливать инструменты с открытым исходным кодом».

Вредоносное ПО распространяется в основном через репозитории GitHub, которые выглядят легитимными. Некоторые репозитории накопили звезды и форки, что придает им вид надежных. Другие продвигаются через группы в Telegram и на форумах, посвященных криптовалютам.

GitHub является популярным каналом распространения программного обеспечения для криптотрейдинга, от интеграций с DEX-агрегаторами до MEV-ботов. Динамика платформы, основанная на доверии по умолчанию, играет на руку злоумышленникам – репозиторий с недавними коммитами и документацией, выглядящей актуальной, может обмануть даже опытных пользователей.

Kaspersky не назвала конкретные репозитории и не оценила общее число жертв. Компания посоветовала трейдерам проверять личность авторов программного обеспечения, сверять цифровые подписи и по возможности выполнять операции с кошельками на изолированных от сети компьютерах.

Для трейдеров, которые полагаются на сторонние инструменты, последствия очевидны: скомпрометированное приложение может опустошить кошелек за считанные секунды. Не требуется ни фишингового письма, ни поддельного сайта для проверки – злоумышленник уже находится внутри рабочего процесса пользователя.

Модульная структура платформы предполагает, что будущие варианты могут быть нацелены на перехват данных аппаратных кошельков или использование разрешений браузерных расширений. Kaspersky сообщила, что отслеживает вредоносное ПО под внутренним кодовым названием и ожидает, что операторы продолжат совершенствовать код.

Криптоинвесторам следует рассматривать любую загрузку с GitHub как потенциальный риск. Самый безопасный подход: открытый исходный код не означает безопасность. Проверяйте код самостоятельно, запускайте его сначала в песочнице или используйте только хорошо известные, проверенные инструменты от авторитетных разработчиков.

Связанные новости