Угроза кибербезопасности: атаки на разработчиков и утечка данных клиентов Gucci

Мы собрали ключевые события из сферы кибербезопасности за последнюю неделю.

Разработчики программного обеспечения становятся все более уязвимыми для атак криптоворов. Исследователи из компании Koi Security сообщили, что хакерская группа WhiteCobra нацелилась на пользователей сред разработки кода VSCode, Cursor и Windsurf. Они разместили 24 вредоносных расширения в магазине Visual Studio Marketplace и в реестре Open VSX.

Одной из жертв этой кампании стал Зак Коул, ключевой разработчик Ethereum. По его словам, злоумышленники похитили криптовалюту через плагин для ИИ-редактора Cursor. Коул уточнил, что вредоносное расширение выглядело совершенно безопасным: у него был профессионально выполненный логотип, подробное описание и более 54 000 загрузок на OpenVSX — официальном реестре Cursor.

В Koi Security считают, что WhiteCobra относится к той же группе, которая в июле украла криптоактивы на сумму $500 000 у российского блокчейн-разработчика.

«Кросс-совместимость и нехватка формальной проверки при размещении на этих платформах делают их удобными для злоумышленников, желающих организовать масштабные атаки», – указано в отчете Koi Security.

Кража средств начинается с выполнения основного файла extension.js, который по сути напоминает общий шаблон Hello World из каждого расширения VSCode. Затем зловред распаковывает ПО-стиллер, в зависимости от операционной системы.

Ц Targets WhiteCobra охватывают владельцев цифровых активов с капиталом от $10 000 до $500 000. Аналитики полагают, что группа может запустить новую атаку менее чем за три часа.

Уже сейчас остановить злоумышленников сложно: хотя вредоносные плагины удаляются из OpenVSX, на их месте появляются новые.

Специалисты рекомендуют использовать только проверенные проекты и быть осторожными с новыми релизами, быстро набирающими популярность.

Канадская федеральная полиция осуществила крупнейшую в стране конфискацию криптовалюты. Об этом сообщил ончейн-детектив ZachXBT.

Правоохранители изъяли с платформы TradeOgre цифровые активы на сумму свыше 56 миллионов канадских долларов (~$40,5 млн). Закрытие данной платформы стало первым в своём роде инцидентом в истории Канады.

Расследование началось в июне 2024 года по наводке Европола, и выяснилось, что площадка нарушала канадские законы и не была зарегистрирована в Центре анализа финансовых операций как обменник.

Следователи располагают данными, что большинство операций на TradeOgre выполнялись с использованием средств из преступных источников, так как площадка не требовала идентификации пользователей.

По словам полиции, информация о транзакциях, полученная с TradeOgre, будет анализироваться для возможных обвинений. Расследование продолжается.

После атаки на NPM, направленной на внедрение вредоносного ПО в пакеты JavaScript, злоумышленники приступили к распространению полноценного «червя». Инцидент принимает масштабный характер: на данный момент зарегистрировано более 500 скомпрометированных пакетов NPM.

Координированная кампания, названная Shai-Hulud, стартовала 15 сентября с компрометации NPM-пакета @ctrl/tinycolor, который скачивается более 2 миллионов раз в неделю.

По данным аналитиков Truesec, кампания продолжает расширяться, охватывая пакеты, опубликованные в пространстве имен CrowdStrike.

Эксперты отмечают, что скомпрометированные версии содержат функцию, извлекающую tar-архив пакета, модифицирующую файл package.json, внедряющую локальный скрипт, пересобирающую архив и снова публикующую его. Во время установки автоматически срабатывает скрипт, который загружает и запускает TruffleHog — легитимный инструмент для поиска секретов и токенов.

В Truesec полагают, что атака продолжает нарастать и становится более изощренной. Хотя злоумышленники применяют известные методы, они заметно улучшили свой подход, сделав его полностью автономным «червем». Вредоносное ПО осуществляет следующие действия:

Одной из ярких черт этой атаки является то, что вместо зависимостей от одного зараженного элемента, она расползается автоматически на все NPM-пакеты.

Jaguar Land Rover (JLR) уже третью неделю не может возобновить производство из-за кибератаки. Производитель автомобилей класса люкс сообщил, что его конвейеры остановлены как минимум до 24 сентября.

В компании подтвердили, что злоумышленники украли данные из их сети, однако пока не указывают, какая конкретная хакерская группировка может быть ответственной за атаку.

По информации BleepingComputer, к кибератаке может быть причастна группа Scattered Lapsus$ Hunters, которая опубликовала в Telegram скриншоты внутренней системы JLR. В сообщении утверждается, что хакеры также внедрили программу-вымогатель на скомпрометированной инфраструктуре.

По оценкам BBC, каждая неделя простоя обходится компании минимум в 50 миллионов фунтов стерлингов (~$68 миллионов). The Telegraph же предполагает, что потери за это время составляют около $100 миллионов. Поставщики JLR выражают обеспокоенность тем, что не смогут справиться с внезапным кризисом и могут столкнуться с банкротством.

12 сентября команда Great Firewall Report сообщила о крупнейшей утечке данных за всю историю «Великого китайского файрвола».

В сеть попало около 600 ГБ внутренних документов, исходных кодов и переписки разработчиков, которые использовались для разработки и поддержки китайской национальной системы фильтрации интернет-трафика.

Исследователи отметили, что утечка включает полноценные системы разработки платформ для отслеживания трафика и модули, отвечающие за распознавание и остановку определенных инструментов обхода блокировок. Большая часть технологий нацелена на обнаружение запрещенного в Китае VPN.

Специалисты из Great Firewall Report утверждают, что часть документов относится к платформе Tiangou — коммерческому продукту для операторов и пограничных шлюзов. Они полагают, что начальные версии программы были развернуты на серверах HP и Dell.

Кроме того, в утечке упоминается установка данного ПО в 26 дата-центрах Мьянмы. Система, как утверждают, управлялась государственной телекоммуникационной компанией и была интегрирована в ключевые точки обмена интернет-трафиком, что позволяло реализовывать как массовую блокировку, так и выборочную фильтрацию.

Согласно Wired и Amnesty International, инфраструктура также была экспортирована в Пакистан, Эфиопию, Казахстан и другие страны, где она применяется наряду с другими платформами для законного перехвата трафика.

15 сентября концерн Kering, владелец множества люксовых брендов, подтвердил утечку данных, затронувшую клиентов его дочерних компаний Gucci, Balenciaga, Alexander McQueen и Yves Saint Laurent.

По данным BBC, злоумышленники украли персональные данные, включая имена, адреса электронной почты, номера телефонов и домашние адреса, а также данные о общей сумме покупок клиентов по всему миру.

Предполагается, что за атакой стоит хакерская группа ShinyHunters, которая утверждает о краже личных данных как минимум 7 миллионов человек, хотя общее число пострадавших может быть значительно выше.

Группировка также подозревается в причастности к краже множества баз данных, размещенных в Salesforce. Несколько компаний, включая Allianz Life, Google, Qantas и Workday, подтвердили факт утечки данных в результате этих массовых взломов.