Киберугрозы недели: Взломы dYdX, вредоносные ИИ-расширения и уязвимости в Windows 11

Мы подготовили сводку самых значимых событий в области кибербезопасности за последнюю неделю.

Хакеры осуществили атаки на аккаунты разработчиков децентрализованной криптобиржи dYdX, внедрив вредоносное ПО в официальные пакеты для npm и PyPI. Данный инцидент был обнаружен экспертами из компании Socket.

Эти пакеты используются программистами для взаимодействия с биржей, в том числе для создания кошельков и выполнения сделок. Поскольку через dYdX проходят огромные суммы, последствия взлома могут быть очень серьезными.

Основной целью нападения стали сид-фразы криптовалютных кошельков. В момент, когда разработчик использовал заражённую библиотеку, вирус копировал пароли и отправлял их на сервер злоумышленников. Хакеры применяли адреса, почти не отличающиеся от официальных, что усложняло их идентификацию.

Для создателей программ на Python ситуация оказалась еще более неприятной: в систему проникал троян для удаленного администрирования. Этот вредонос активировался каждые 10 секунд, предоставляя злоумышленникам возможность запускать любой код на компьютере жертвы, что позволяло красть как криптовалюту, так и личные данные.

Специалисты Socket отметили, что нарушители были осведомлены о внутреннем устройстве системы. Они закладывали вредоносный код глубоко в легитимные файлы, что позволяло ему запускаться автоматически.

После предупреждений специалистов биржа подтвердила факт компрометации и призвала всех, кто скачивал обновления в январе 2026 года, незамедлительно изолировать свои устройства и переводить средства на новые безопасные кошельки.

Северокорейские хакеры запустили персонализированные атаки, используя сгенерированные ИИ видеоролики для распространения вредоносного ПО среди пользователей криптовалюты. Об этом сообщили эксперты Mandiant.

Мошенники стремились к финансовой выгоде, что подтвердило течение атаки на неизвестную финтех-компанию. В процессе работы исследователи идентифицировали семь различных семейств вредоносного ПО для macOS и связали их с группировкой UNC1069, которую они отслеживают с 2018 года.

Злоумышленники контактировали с жертвой через Telegram, используя взломанный аккаунт руководителя криптовалютной компании. Установив доверительные отношения, они направили жертве ссылку на Calendly, которая вела на поддельную страницу Zoom, размещенную на сервере атакующих.

По словам пострадавшего, хакеры продемонстрировали дипфейк-видео генерального директора компании, при этом во время видеозвонка злоумышленник создал видимость проблем со звуком, чтобы заставить жертву следовать инструкциям, которые инициировали цепочку заражения для Windows и macOS.

В результате атаки было развернуто семь различных семейств вредоносного ПО:

Представители Mandiant отметили, что семейства SILENCELIFT, DEEPBREATH и CHROMEPUSH стали новыми инструментами этой группировки. Их объем в одном случае против одного человека стал “необычным”.

Это свидетельствует о том, что атака была высоко специализированной и нацелена на сбор максимального объема данных для достижения целей: кражи криптовалюты и подготовки будущих атак за счет кражи личных данных и контактов.

30 вредоносных AI-расширений для Chrome скачали более 260 000 пользователей. Об этом сообщили исследователи компании LayerX.

Эта кампания маскируется под ИИ-помощников и нацелена на кражу учетных данных, содержимого электронной почты и информации о посещенных страницах.

Исследования показали, что все проанализированные расширения являются частью одной мошеннической сети, поскольку они связаны с одной и той же инфраструктурой.

По данным экспертов, самым популярным расширением стал Gemini AI Sidebar (80 000 пользователей), которое уже удалено из магазина. Однако издание BleepingComputer отметило, что другие расширения с тысячами установок все еще находятся в репозитории Google:

Все 30 расширений имеют одинаковую внутреннюю структуру, аналогичную логику JavaScript и запрашиваемые разрешения. В них отсутствуют функции ИИ внутри кода; вместо этого они загружают контент с удаленного домена.

Одной из серьезных опасностей является то, что разработчики могут изменять функциональность расширения на стороне сервера в любое время, не требуя выпустить обновление, что позволяет обходить проверки модераторов Google.

В фоновом режиме эти расширения извлекают информацию о посещаемых страницах, включая страницы для авторизации.

BleepingComputer направили запрос в Google за комментариями, но на момент публикации ответа не было. Специалисты советуют сверяться со списком индикаторов взлома от LayerX, незамедлительно удалять вредоносные расширения и менять пароли.

Двое жителей Коннектикута были обвинены в мошенничестве с использованием гэмблинговых платформ и краденых личных данных. Об этом сообщает Минюст США.

Согласно обвинению, с апреля 2021 года по 2026 год сообщники похитили $3 миллиона, задействовав украденные личные данные около 3000 жертв.

Мошенническая схема выглядела следующим образом:

«Я просто просматривал список номеров социального страхования и использовал сервис обратного поиска телефонов в приложении Scam Shield», — сообщал обвиняемый Амитой Капур в сообщении своему сообщнику Сиддхарта Лиллани.

При совпадении злоумышленник создавал аккаунт. В некоторых случаях это удавалось сделать без дополнительной проверки сервисом BeenVerified.

Целью схемы было получение промо-бонусов, которые букмекеры предлагают при первом депозите или ставке. В случае выигрыша, обвиняемые переводили средства на виртуальные предоплаченные карты, а затем на свои личные счета.

Microsoft устранила серьезную уязвимость в “Блокноте” для Windows 11, которая позволяла злоумышленникам запускать локальные или удаленные программы. Для этого хакерам достаточно было убедить пользователя кликнуть на специально подготовленную ссылку в формате Markdown, сообщает BleepingComputer.

С выходом Windows 11 Microsoft решила заменить редактор WordPad обновленным “Блокнотом”. Программы были переписаны с нуля и получили поддержку Markdown, что позволило пользователям форматировать текст и вставлять кликабельные ссылки в текстовые файлы (.md).

По данным СМИ, уязвимость заключалась в неправильной обработке специальных элементов в командах. Хакеры могли создать Markdown-файл с вредоносными ссылками, использующими протоколы типа file:// (путь к исполняемому файлу) или ms-appinstaller:// (установка приложений).

При открытии такого файла в “Блокноте” ранних версий (включая 11.2510) в режиме Markdown текст отображался как ссылка. При нажатии на нее с сочетанием клавиш Ctrl+клик программа автоматически запускала указанный файл или протокол. Основная угроза заключалась в том, что код выполнялся в безопасной среде пользователя, с теми же правами доступа, а Windows не выдавал стандартное предупреждение о запуске потенциально опасного файла.

Безопасники выяснили, что можно было создавать ссылки даже на файлы на удаленных сетевых ресурсах. После выхода обновления, любое другое нажатие на ссылку в “Блокноте” вызывает всплывающее окно с предупреждением.