Кибератаки недели: Изъятие украденного Ethereum и новые угрозы в мире криптовалют

Мы подготовили сводку главных событий из сферы кибербезопасности за минувшую неделю.

Американские власти изъяли $23,6 млн в криптовалюте, похищенной в результате атаки на онлайн-менеджер паролей в 2022 году. Как свидетельствуют судебные документы, с июня 2024 по февраль 2025 года правоохранительные органы смогли проследить за украденными средствами на таких платформах, как OKX, Payward Interactive, Inc. (входит в структуру Kraken), WhiteBIT, AscendEX Technology SRL, Ftrader Ltd (управляемая FixedFloat), SwapSpace LLC и Rabbit Finance LLC (управляемая CoinRabbit).

Хотя конкретный менеджер паролей не был назван, в жалобе упоминается о «двух крупных утечках данных», происходивших в августе и ноябре 2022 года. Эти события совпадают с инцидентами, связанными с LastPass.

Ончейн-исследователь ZachXBT сообщил, что изъятие связано с кражей $150 млн (283 млн XRP), совершенной у сооснователя Ripple, Криса Ларсена, в январе 2024 года.

«Уязвимость в кошельке Ларсена была вызвана хранением закрытых ключей в LastPass. До этого он официально не раскрывал причины кражи», — отметил исследователь.

Representatives of LastPass, комментируя Bleeping Computer, заявили, что правоохранительные органы пока не предоставили достаточных доказательств, связывающих кражу криптовалют с инцидентом на их платформе.

Специалисты компании Socket выявили вредоносный пакет на Python Package Index (PyPI) под названием «set-utils», который ворует закрытые ключи Ethereum. С января 2025 года он был загружен более 1000 раз, хотя на самом деле число затронутых пользователей может быть еще выше.

Пакет выдает себя за полезную утилиту для Python, подражая популярным библиотекам «python-utils» с 712 млн загрузок и «utils» с 23,5 млн установок. Атаки направлены на блокчейн-разработчиков, которые используют библиотеку «eth-account» для управления кошельками, а также на проекты в сфере DeFi и Web3-приложения, поддерживающие Ethereum.

Злоумышленники подключаются к стандартным функциям генерации Ethereum-кошелька, чтобы перехватывать закрытые ключи во время их создания на инфицированном устройстве. Вывод средств происходит через платформу Polygon.

На момент составления текста вредоносный пакет был удален из PyPI. Пользователям, загрузившим его, рекомендуется предпринять шаги для перемещения активов на безопасные адреса.

Эксперты «Лаборатории Касперского» выявили несколько групп фишинговых сайтов, копирующих официальный ресурс чат-бота DeepSeek.

В ходе первой кампании фальшивые сайты распространяли Python-стилеры через инсталляцию несуществующего клиента DeepSeek для Windows. Вредоносное ПО осуществляет кражу cookie и сессий из браузеров, а также логинов и паролей от аккаунтов различных сервисов и информации о криптокошельках.

Второй вектор атаки заключался в распространении ссылок на мошеннические страницы через социальную сеть X. Один из твитов злоумышленников, опубликованный от имени австралийской компании, собрал 1,2 млн просмотров и более ста репостов.

Третья кампания нацелена на технически продвинутых пользователей. Загружаемая вредоносная программа маскируется под фреймворк Ollama, предназначенный для запуска крупных языковых моделей на локальных устройствах. В конечном итоге она устанавливает на компьютер жертвы модифицированный бэкдор Farfli.

Управление Комиссара по информации Великобритании (ICO) запустило расследование касательно TikTok, Imgur и Reddit по вопросам соблюдения конфиденциальности несовершеннолетних.

На данном этапе органы власти выясняют, были ли нарушены нормы законодательства о защите данных, а также какие способы используются сервисами для определения возраста своих пользователей.

В случае нахождения достаточных доказательств нарушений, ICO планирует запросить объяснения от компаний перед тем, как принять решение о возможных мерах воздействия.

Аналитики компании F6 зафиксировали увеличение числа краж аккаунтов в мессенджере Telegram. За вторую половину 2024 года одна группа злоумышленников украла более 1,24 млн аккаунтов, что на 25,5% больше по сравнению с аналогичным периодом 2023 года.

Цели злоумышленников включают цифровую валюту Telegram Stars и виртуальные коллекционные подарки, такие как NFT. Обычно они выводятся на подставные учетные записи для последующей продажи.

Средняя цена украденных аккаунтов, зарегистрированных на российские номера, составляет около 160 рублей. Стоимость варьируется в зависимости от наличия премиум-подписки, прав доступа в каналах и числа диалогов.

Для создания фальшивых сайтов злоумышленники используют веб-панели или Telegram-ботов. Пользователи привлекаются призами, уведомлениями от службы безопасности, подарочными подписками, голосованиями или доступами к приватным каналам.

Нередко похищенные аккаунты начинают автоматически распространять мошеннические ссылки, которые направляют на фишинговые страницы для составления резюме. Для его «отправки работодателю» требуется авторизация через Telegram.

Компания Apple информировала пользователей из 117 стран о том, что они стали жертвами целенаправленных атак с использованием мобильных шпионских ваших приложений. Эту информацию предоставила Amnesty International.

Как правило, в подобных уведомлениях не раскрываются имена злоумышленников и конкретные страны, которые они атаковали.

В 2024 году Apple дважды отправляла аналогичные уведомления.

Исследуем негативное влияние мем-коинов на криптовалютный рынок.