Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
ZachXBT связал изъятие криптовалют на $23,6 млн со взломом кошелька сооснователя Ripple
Власти США изъяли $23,6 млн в криптовалютах, украденных вследствие взлома онлайн-менеджера паролей в 2022 году. Согласно судебным документам, с июня 2024 по февраль 2025 года правоохранители отследили похищенные активы на биржах OKX, Payward Interactive, Inc. (под управлением Kraken), WhiteBIT, AscendEX Technology SRL, Ftrader Ltd (под управлением FixedFloat), SwapSpace LLC и Rabbit Finance LLC (под управлением CoinRabbit).
Хотя следователи не назвали конкретный онлайн-менеджер паролей, в жалобе говорится, что платформа подверглась «двум крупным утечкам данных» в августе и ноябре 2022 года. Эта временная шкала совпадает с инцидентами сервиса LastPass.
Ончейн-детектив ZachXBT написал, что изъятие связано с кражей $150 млн (283 млн XRP) у сооснователя Ripple Криса Ларсена в январе 2024 года.
«Причиной взлома кошелька Ларсена стало хранение закрытых ключей в LastPass. До этого момента он публично не раскрывал причину кражи», — отметил исследователь.
В свою очередь представители LastPass в комментарии Bleeping Computer заявили, что на данный момент правоохранители «не предоставили никаких убедительных доказательств, связывающих какие-либо кражи криптовалют с нашим инцидентом».
В библиотеке PyPI нашли ворующее Ethereum ПО
Исследователи Socket обнаружили вредоносный пакет Python Package Index (PyPI) «set-utils», ворующий закрытые ключи Ethereum. С января 2025 года его загрузили более 1000 раз, но количество потенциальных жертв может быть значительно выше.
Пакет маскируется под утилиту для Python, имитируя популярные «python-utils» с 712 млн загрузок и «utils» с 23,5 млн установок. Атаки нацелены на блокчейн-разработчиков, использующих библиотеку «eth-account» для управления кошельками, DeFi-проекты на основе Python и Web3-приложения с поддержкой Ethereum.
Злоумышленники подключаются к стандартным функциям создания Ethereum-кошелька, чтобы перехватывать закрытые ключи по мере их генерации на взломанном устройстве. Средства выводятся через блокчейн Polygon.
На момент написания вредоносный пакет удален из PyPI. Пользователям, загрузившим его в свои проекты, рекомендуют принять меры и переместить активы на безопасный адрес.
Сайты с фейковым DeepSeek распространили стилеры и бэкдоры
Специалисты «Лаборатории Касперского» обнаружили несколько групп фишинговых страниц, копирующих официальный сайт чат-бота DeepSeek.
В рамках первой кампании фейковые ресурсы распространяли Python-стилер через установку несуществующего в реальности клиента DeepSeek для Windows. Вредонос ворует cookie и сессии из браузеров, логины и пароли от учетных записей различных сервисов, файлы с заданными расширениями, а также информацию о криптокошельках.
Скриншот поддельного сайта. Данные: «Лаборатория Касперского».
Во второй схеме основным вектором распространения ссылок на мошеннические сайты стала соцсеть X. Один из твитов злоумышленников от имени австралийской компании набрал 1,2 млн просмотров и более сотни репостов.
Данные: «Лаборатория Касперского».
Третья кампания нацелена на технически продвинутых пользователей. Загружаемая вредоносная нагрузка маскируется под фреймворк Ollama для запуска больших языковых моделей на локальных мощностях. В финале она устанавливает на устройство жертвы модифицированный бэкдор Farfli.
Британия проверит TikTok и Reddit на предмет обработки данных детей
Управление Комиссара по информации Великобритании (ICO) начало расследования в отношении TikTok, Imgur и Reddit касательно соблюдения конфиденциальности несовершеннолетних пользователей.
На данном этапе ведомство выясняет, были ли допущены какие-либо нарушения законодательства о защите данных, а также какую информацию сервисы используют для оценки возраста пользователей.
В случае обнаружения достаточных доказательств нарушений закона ICO намерено получить разъяснения от компаний, прежде чем принимать окончательное решение о мерах воздействия на них.
Telegram Stars и NFT стали причинами кражи аккаунтов
Аналитики компании F6 зафиксировали рост числа краж учетных записей в мессенджере Telegram. За вторую половину 2024 года только одна группа злоумышленников похитила свыше 1,24 млн аккаунтов, что больше на 25,5% по сравнению с аналогичным периодом 2023 года.
Среди целей злоумышленников — цифровая валюта Telegram Stars и коллекционные виртуальные подарки, включая NFT. Как правило, их выводят на подставные учетные записи и продают.
Средняя стоимость самих аккаунтов, зарегистрированных на российские номера, составляет около 160 рублей. Сумма варьируется от наличия премиум-подписки, административных прав в каналах и количества диалогов.
Для создания фишинговых ресурсов злоумышленники используют веб-панели или Telegram-боты. Пользователей заманивают на денежные призы, предупреждения от службы безопасности, подарочные премиум-подписки, голосования или доступы в приватные каналы.
Нередко в рамках комбо-схемы похищенный аккаунт автоматически начинает распространять мошеннические ссылки. Они ведут на фишинговые страницы якобы для составления резюме. Для его «отправки работодателю» требуется авторизоваться через Telegram.
Пользователей Apple из 117 стран уведомили об атаках шпионского ПО
Компания Apple уведомила пользователей из 117 стран о том, что они подверглись целевым атакам с использованием мобильных шпионских программ. Об этом сообщили эксперты Amnesty International.
Традиционно в подобных рассылках не раскрываются личности злоумышленников и конкретные затронутые страны.
В 2024 году Apple дважды отправляла подобные уведомления.
Также на ForkLog:
Что почитать на выходных?
Разбираемся в негативном влиянии мем-коинов на криптоиндустрию.