Кибербезопасность: новости недели о хакерских атаках и угрозах

• Атаки на расширения MetaMask и OKX в браузере AdsPower.
• В Telegram выявлены сообщения от фальшивого аккаунта «Безопасность».
• В магазины приложений попал троян для биткоин-кошельков.
• ИИ-разработчики скачали стилер под видом DeepSeek.

Атаки на расширения MetaMask и OKX в браузере AdsPower

21 января хакеры целенаправленно атаковали цепочку поставок браузера AdsPower, ориентированного на защиту конфиденциальности. По информации аналитиков, основной целью было внедрение вредоносного программного обеспечения в расширения MetaMask и OKX.

Might be one to watch for more information. Some info points to MetaMask (!) and OKX including malicious libraries. Based on the dates provided it could be OKX 3.39.9 and MetaMask 12.10.1. Will look into it deeper. https://t.co/htzB4nJ7df

— tuckner (@tuckner) February 5, 2025

Как сообщают эксперты из SlowMist, злоумышленники использовали встроенный в браузер бэкдор для кражи мнемонических фраз и закрытых ключей, что впоследствии привело к потере криптовалюты.

Данное происшествие осталось незамеченным в течение трех суток, после чего разработчики AdsPower удалили вредоносный код и соответствующие расширения из браузеров своих пользователей. Зараженные пользователи были уведомлены и им рекомендовали вывести средства на безопасные адреса.

По предварительным оценкам, общий ущерб может достигать около $4,7 миллионов. Расследование продолжает свое течение.

В Telegram выявлены сообщения от фальшивого аккаунта «Безопасность»

Аналитики F.A.C.C.T. Threat Intelligence зафиксировали новую схему кражи аккаунтов в Telegram, в рамках которой злоумышленники рассылают сообщения от фальшивого аккаунта с ником «Безопасность» и логотипом мессенджера. Цель этих сообщений — создать впечатление о несанкционированном входе в учетную запись жертвы.

Сообщение содержит ссылку для «усиления защиты данных», однако при переходе открывается фишинговый сайт, где жертве предлагается авторизоваться через QR-код. Если жертва выполнит этот шаг, злоумышленники получают доступ к ее аккаунту.

В прошлом году аналогичные схемы предлагали услуги по полному закачиванию сообщений и контента за сумму в $17 000 (более 1.5 миллионов рублей).

В магазины приложений попал троян для биткоин-кошельков

Эксперты «Лаборатории Касперского» обнаружили в App Store и Google Play троян под названием SparkCat, который нацелен на кражу данных криптокошельков.

⚠️ A new mobile threat is on the rise! The #SparkCat malware is stealing sensitive data from iOS and Android users through OCR technology. Find out how it works and how to protect yourself. 🛡️📱

🔗 Read more: https://t.co/RuXVT7jSus
#MobileSecurity pic.twitter.com/y4TZFhiDev

— Kaspersky (@kaspersky) February 7, 2025

Этот вредонос распространяется через зараженные мессенджеры и приложения для доставки еды. После установки на устройство SparkCat запрашивает доступ к фото и использует оптическое распознавание символов (OCR) для анализа текстов на изображениях в галерее, отправляя злоумышленникам восстановительные фразы, если они будут обнаружены.

При этом он также может получить доступ к другим данным, таким как содержание сообщений или пароли, если они находятся на скриншотах. SparkCat в основном нацелен на пользователей из ОАЭ и стран Европы и Азии. Программы с встроенным вредоносным кодом скачали более 242 000 раз.

Лаборатория уведомила Google и Apple, после чего они удалили все нападенные приложения из своих магазинов.

ИИ-разработчики скачали стилер под видом DeepSeek

Исследователи Positive Technologies обнаружили два вредоносных пакета deepseek и deepseekai в библиотеке Python Package Index (PyPI), маскирующиеся под инструменты для разработчиков ИИ.

Запустив эти пакеты, пользователи подвергались риску кражи личных и системных данных, а также ключей API и разрешений на доступ.

После уведомления PyPI немедленно поместила пакеты в карантин и вскоре полностью удалила их с платформы. Несмотря на эти меры, пакеты успели скачать 222 разработчика из различных стран, включая США, Китай, Россию, Германию, Гонконг и Канаду.

Им рекомендовали немедленно сменить ключи API, токены аутентификации и пароли для снижения риска компрометации данных.

Испанская полиция изъяла криптокошельки у подозреваемого во взломах НАТО и ООН

В Аликанте был задержан подозреваемый во взломе не менее 40 государственных и частных организаций в Испании и США. Подозреваемый был помещен под домашний арест, а расследование кибератак началось в январе 2024 года.

По данным полиции, он получал доступ к внутренним документам и базам данных с личными данными сотрудников и клиентов. Эти данные впоследствии продавались на хакерских форумах, среди его жертв числятся Гражданская гвардия, Минобороны Испании, НАТО, ООН, армия США и различные университеты.

[media=https://www.youtube.com/watch?v=B2_0rEKVU0E?si=KlGuxQo707_T9IyF]

Во время обыска дома у подозреваемого полиция изъяла несколько компьютеров, электронику и 50 криптокошельков с цифровыми активами.

По итогам расследования подозреваемому могут грозить до 20 лет лишения свободы, кроме того, проверяется его причастность к другим преступлениям и наличие сообщников.

ФНС разъяснила порядок хранения данных о биткоинах

Федеральная налоговая служба РФ планирует ограничить доступ к информации о добытых криптовалютах и адресах кошельков майнеров. Об этом рассказал депутат Антон Горелкин в своем Telegram-канале сообщил.

Он отметил, что бизнесмены обеспокоены сохранением конфиденциальной информации о криптокошельках, утечка чего может стать серьезной угроза для национальной безопасности.

«В ФНС меня заверили, что информация хранится в защищенной внутренней системе, доступ к которой строго ограничен даже внутри ведомства, и получить к ней доступ извне крайне затруднительно», —

.

Специалисты заверили горелкина, что риск утечки данных из внутренних систем налоговой службы на данный момент сведен к нулю.

Дополнительные новости в мире криптобезопасности

• Атакующие обновили методы охоты на пользователей Phantom.
• Разработчик Tornado Cash Алексей Перцев будет освобожден 7 февраля.
• Доходы биткоин-вымогателей сократились с $1.25 миллиарда до $813 миллионов.
• Предположение топ-менеджера Coinbase о раскрытии личности Сатоши Накамото.
• СМИ сообщают о том, что дело Дурова в суд поступит не ранее 2026 года.
• Пользователи потеряли средства от рекламы мем-коина в взломанном X-аккаунте Jupiter.
• Компания Deribit прекращает обслуживание клиентов из РФ в связи с санкциями.
• Рынок Украина включил криптопроект с годовой доходностью 1045% в список ненадежных.
• Ripple объяснила причины сбоя в XRP Ledger.
• DeepSeek под запретом: ограничения на китайский ИИ в разных странах.
• Клиенты Coinbase потеряли более $65 миллионов из-за мошенников в течение двух месяцев.
• Канадец обвинен в краже $65 миллионов у KyberSwap и Indexed Finance.

Что почитать на выходных?

Вместе с экспертом «Шард» разбираем вопросы, как провайдеру ликвидности не потерять стартовый капитал и не обогатить мошенников.