Компанія з кібербезпеки Kaspersky виявила нову шкідливу програму, розроблену спеціально для спустошення криптовалютних гаманців. Вектор атаки покладається на соціальну інженерію та троянізовані додатки, розміщені на GitHub.
Кампанія, яку Kaspersky детально описала у звіті, опублікованому в п'ятницю, використовує підроблені версії легітимних криптоінструментів. Жертв обманом змушують завантажити шкідливий код, замаскований під торгових ботів, трекери портфеля або програмне забезпечення для управління гаманцями.
Після встановлення програма може перехоплювати дані з буфера обміну, замінюючи скопійовані адреси гаманців на ті, що контролюються зловмисниками, а також збирати приватні ключі, що зберігаються на пристрої. У Kaspersky заявили, що шкідливе ПЗ є модульним, що дозволяє його операторам змінювати корисне навантаження без перебудови всього ланцюжка зараження.
«Це не проста операція скрипт-кідді, – зазначила дослідницька команда Kaspersky у звіті. – Фреймворк демонструє чітке планування. Зловмисники націлені на конкретну аудиторію: людей, які активно керують криптоактивами та звикли встановлювати інструменти з відкритим кодом».
Шкідливе ПЗ поширюється переважно через репозиторії GitHub, які виглядають легітимними. Деякі репозиторії накопичили зірки та форки, що робить їх на вигляд надійними. Інші просуваються через групи в Telegram та форуми, присвячені криптовалютам.
GitHub є популярним каналом розповсюдження програмного забезпечення для криптотрейдингу, від інтеграцій з DEX-агрегаторами до MEV-ботів. Динаміка платформи, що базується на довірі за замовчуванням, грає на руку зловмисникам – репозиторій з нещодавніми комітами та документацією, що виглядає актуальною, може ввести в оману навіть досвідчених користувачів.
Kaspersky не назвала конкретних репозиторіїв і не оцінила загальну кількість жертв. Компанія порадила трейдерам перевіряти особистість авторів програмного забезпечення, перевіряти цифрові підписи та, за можливості, виконувати операції з гаманцями на ізольованих від мережі комп'ютерах.
Для трейдерів, які покладаються на сторонні інструменти, наслідки очевидні: скомпрометований додаток може спустошити гаманець за лічені секунди. Не потрібен ні фішинговий лист, ні фейковий вебсайт для перевірки – зловмисник уже всередині робочого процесу користувача.
Модульна конструкція фреймворку свідчить про те, що майбутні варіанти можуть бути націлені на комунікацію з апаратними гаманцями або використовувати дозволи розширень для браузера. У Kaspersky повідомили, що відстежують шкідливе ПЗ під внутрішньою кодовою назвою і очікують, що оператори продовжать вдосконалювати код.
Криптоінвесторам слід розглядати будь-яке завантаження з GitHub як потенційний ризик. Найбезпечніший підхід: відкритий код не означає безпечний. Проводьте аудит коду самостійно, спочатку запускайте його в пісочниці або використовуйте лише добре відомі, перевірені інструменти від авторитетних розробників.
Kaspersky: фейкові криптододатки на GitHub крадуть криптовалюту
Компанія з кібербезпеки Kaspersky виявила шкідливе ПЗ, що поширюється через фейкові версії криптоторгівельних ботів, трекерів портфеля та інструментів для гаманців на GitHub. Після встановлення воно може підміняти скопійовані адреси гаманців на адреси зловмисників і викрадати приватні ключі, ставлячи під загрозу криптовалюту користувачів.