Взлом разработчиков dYdX, ИИ-расширения для Chrome с вредоносом и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Злоумышленники взломали аккаунты разработчиков децентрализованной криптобиржи dYdX и внедрили вирус в официальные программные пакеты (npm и PyPI). Взлом обнаружили специалисты Socket.

Пакеты npm и PyPI используются программистами для работы с протоколами биржи, включая создание кошельков и проведение сделок. Поскольку через dYdX проходят миллиарды долларов, масштаб угрозы оказался крайне высоким.

Целью атаки были сид-фразы криптокошельков. Как только разработчик соприкасался с зараженной библиотекой, вирус копировал ключи доступа и отправлял их на сервер хакеров. Злоумышленники использовали адреса сайтов, которые визуально почти не отличаются от официальных доменов биржи.

Для разработчиков на Python-версии софта ситуация оказалась еще хуже: в систему устанавливался троян для удаленного управления. Вирус активизировался в фоновом режиме каждые 10 секунд, позволяя хакерам выполнять любой код на компьютере жертвы. Это давало возможность воровать не только криптовалюту, но и пароли, личные файлы, а также следить за действиями пользователя.

Специалисты Socket отметили, что взломщики знали внутреннее устройство системы. Они спрятали вредоносный код глубоко в легитимных файлах, которые запускаются автоматически.

После предупреждения экспертов биржа подтвердила факт взлома и призвала всех, кто скачивал обновления в январе 2026 года, немедленно изолировать компьютеры и перевести деньги на новые безопасные кошельки.

1/ IMPORTANT SECURITY ANNOUNCEMENT — READ IF YOU HAVE USED VERSIONS OF DYDX-V4 CLIENTS HOSTED ON PyPI or NPM.

Северокорейские хакеры проводят персонализированные кампании, используя сгенерированные ИИ-видеоролики для доставки вредоносов криптопользователям. Об этом сообщили эксперты Mandiant.

Целью злоумышленников является финансовая выгода, на что указывает набор инструментов, использованных при атаке на неназванную финтех-компанию. По данным Mandiant, в ходе работы исследователи обнаружили семь различных семейств вредоносного ПО для macOS и приписали авторство группировке UNC1069, за которой они ведут наблюдение с 2018 года.

С жертвой связались через Telegram со взломанного аккаунта руководителя криптовалютной компании. После установления доверительных отношений хакеры отправили ссылку на Calendly, которая перенаправляла жертву на поддельную страницу конференции Zoom, размещенную на инфраструктуре атакующих.

По словам пострадавшего, хакеры показали дипфейк-видео генерального директора криптокомпании. Во время видеозвонока злоумышленник имитировал проблемы со звуком. Под этим предлогом он инструктировал жертву, как «исправить ошибки», выполнив команды, которые запускали цепочку заражения для Windows и macOS.

Затем хакеры последовательно разворачивали семь различных семейств вредоносного ПО:

В Mandiant отметили, что семейства SILENCELIFT, DEEPBREATH и CHROMEPUSH представляют собой совершенно новый набор инструментов группировки. Исследователи назвали «необычным» такой объем вредоносного ПО, развернутый на одном хосте против одного человека.

Это подтверждает, что атака была узкоспециализированной и нацеленной на сбор максимума данных для двух целей: кражи криптовалюты и подготовки будущих кампаний путем кражи личности и контактов жертвы.

30 вредоносных ИИ–расширений для Chrome установило более 260 000 пользователей. Об этом сообщили исследователи платформы безопасности браузеров LayerX.

Обнаруженная кампания маскируется под ИИ-помощников с целью кражи учетных данных, содержания электронных писем и информации о просмотренных страницах.

Установлено, что все проанализированные расширения являются частью одной мошеннической сети, так как они связываются с инфраструктурой на едином домене.

По данным исследователей, самым популярным расширением в кампании было Gemini AI Sidebar (80 000 пользователей), которое уже удалено из магазина. Однако издание BleepingComputer обнаружило, что другие расширения с тысячами установок все еще присутствуют в репозитории Google:

Все 30 расширений имеют одинаковую внутреннюю структуру, логику JavaScript и запрашиваемые разрешения. Они не содержат ИИ-функций внутри кода. Вместо этого они загружают контент с удаленного домена.

Что особенно опасно: разработчики могут изменить логику работы расширения в любой момент на стороне сервера, не выпуская обновление. Такой подход позволяет обходить повторную проверку модераторами Google.

В фоновом режиме расширения извлекают содержимое посещаемых страниц, включая конфиденциальные страницы авторизации:

BleepingComputer обратился в Google за комментариями, но на момент публикации корпорация не ответила. Специалисты рекомендовали свериться со списком индикаторов взлома от LayerX, немедленно удалить расширение и сменить пароли.

Двух граждан Коннектикута обвинили в мошенничестве с использованием платформ гемблинга и украденных личных данных. Об этом сообщает Минюст США.

Согласно обвинительному заключению, с апреля 2021 по 2026 год сообщники похитили $3 млн, используя украденные личные данные порядка 3000 жертв.

Мошенники действовали по следующему алгоритму:

«Я просто просматривал список номеров социального страхования и использовал обратный поиск по номеру телефона в приложении Scam Shield», — писал обвиняемый Амитой Капур в текстовом сообщении сообщнику Сиддхарту Лиллани.

При совпадениях злоумышленник создавал аккаунт. В некоторых случаях обходилось без дополнительной проверки сервисом BeenVerified.

Целью схемы было получение промо-бонусов, которые букмекеры предлагают при первом депозите или ставке. Если такая ставка выигрывала, обвиняемые переводили средства на виртуальные карты предоплаты, затем — на свои личные счета.

Microsoft исправила критическую уязвимость в «Блокноте» для Windows 11, которая позволяла хакерам запускать локальные или удаленные программы. Для этого злоумышленникам было достаточно обманом заставить пользователя нажать на специально подготовленную ссылку в формате Markdown, сообщает BleepingComputer.

С выходом Windows 11 Microsoft решила отказаться от редактора WordPad и модернизировать «Блокнот». Его переписали с нуля, добавив поддержку Markdown. Это позволило пользователям форматировать текст и вставлять кликабельные ссылки прямо в текстовых файлах (.md).

По данным СМИ, проблема была в неправильной обработке специальных элементов в командах. Хакер мог создть файл Markdown с вредоносными ссылками, использующими протоколы типа file:// (путь к исполняемому файлу) или ms-appinstaller:// (установка приложений).

После его открытия в «Блокноте» ранних версий (включая 11.2510) в режиме Markdown текст отображался, как ссылка. После нажатия на нее комбинацией клавиш Ctrl+клик, ПО автоматически запускало указанный файл или протокол. Главная опасность заключалась в том, что код выполнялся в безопасной среде пользователя, с теми же правами доступа, а Windows не выводила стандартное предупреждение о запуске потенциально опасного файла.

Исследователи безопасности выяснили, что можно было создавать ссылки даже на файлы, расположенные на удаленных сетевых ресурсах. После выпуска исправления при попытке нажать на любую другую ссылку «Блокнот» выводит диалоговое окно с предупреждением.

Также на ForkLog:

В новом материале ForkLog вместе с командой биткоин-миксера Mixer.Money разобрал, к чему приводят утечки данных и что делать для минимизации рисков.

Подписывайтесь на ForkLog в социальных сетях

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

Источник