Угроза от ShinyHunters, атака на криптосайты через React и новые схемы кибермошенничества: обзор событий в кибербезопасности

Мы собрали самые значимые события в области кибербезопасности за последнюю неделю.

В последнее время возросло количество случаев инсталляции вредоносного ПО для кражи средств из криптокошельков. Оно проникает на интернет-ресурсы благодаря уязвимости в популярной библиотеке JavaScript для пользовательских интерфейсов React, сообщает Cointelegraph.

3 декабря команда React сообщила о том, что белый хакер Лаклан Дэвидсон выявил уязвимость, позволяющую осуществлять удаленное выполнение кода без необходимости аутентификации. В тот же день было выпущено обновление для её устранения.

Как сообщает некоммерческая организация по кибербезопасности Security Alliance (SEAL), злоумышленники используют эту уязвимость для внедрения кода, который крадет средства, на криптовалютные платформы.

В SEAL подчеркнули, что под угрозой находятся не только Web3 протоколы, но и все интернет-ресурсы в целом. Пользователям рекомендовано быть особенно осторожными при подтверждении любой активности или транзакций.

Пользователи платформы для взрослых Pornhub стали жертвами хакерской группы ShinyHunters. Об этом заявили в компании.

В их сообщении упоминается, что сайт пострадал из-за компрометации стороннего аналитического провайдера Mixpanel. Инцидент имел место 8 ноября 2025 года после смишинга.

По информации BleepingComputer, Pornhub прекратил сотрудничество с Mixpanel в 2021 году, что подчеркивает данные о времени инцидента.

Провайдер подтвердил, что взлом затронул лишь «ограниченное количество» клиентов, в число которых входили OpenAI и CoinTracker.

Представители Mixpanel в комментарии для BleepingComputer подчеркнули, что не считают свою систему источником утечки данных:

«У нас нет никаких признаков того, что данные были украдены именно из Mixpanel в ходе ноябрьского инцидента или каким-либо другим способом. Последний раз к этой информации обращалась легитимная учетная запись сотрудника материнской компании Pornhub в 2023 году».

Также BleepingComputer узнал, что ShinyHunters начали шантажировать клиентов Mixpanel на прошлой неделе, отправляя письма с требованиями выкупа.

В своем ultimatum к Pornhub хакеры утверждали о краже 94 ГБ данных, содержащих более 200 млн записей личной информации.

Позже группировка подтвердила изданию, что база данных включает 201 211 943 аккаунта премиум-подписчиков.

Хакеры предоставили образец украденных данных, содержащий конфиденциальную информацию.

Новое программное обеспечение для кражи данных под названием SantaStealer активно рекламируется в Telegram и на хакерских форумах. Оно распространяется по модели CaaS, сообщили исследователи компании Rapid7.

Согласно их данным, SantaStealer является новым именем для вредоносной программы BluelineStealer. Она функционирует исключительно в оперативной памяти, что помогает избежать обнаружения антивирусными программами.

Разработчик ведет активную рекламную кампанию перед массовым запуском, намеченным на конец года.

Месячная подписка на CaaS предлагается в двух вариантах.

Специалисты Rapid7 проанализировали несколько образцов SantaStealer и получили доступ к интерфейсу для партнеров. Несмотря на наличие множества методов кражи данных, это ПО не соответствует заявленным характеристикам в плане обхода систем защиты.

Исследования показали, что панель управления стилером имеет интуитивно понятный интерфейс, где «клиенты» могут настраивать свои сборки: от полного пакета кражи до компактных вариантом с детализированным целеуказанием.

SantaStealer применяет 14 различных модулей для сбора данных, каждый из которых работает в отдельном потоке. Украденная информация сохраняется в памяти, сжимается в ZIP-архив и отправляется частями по 10 МБ на сервер управления.

По словам специалистов, SantaStealer может использоваться для кражи следующей информации:

Эксперты по кибербезопасности Amazon GuardDuty выявили кампанию по скрытой добыче криптовалют, нацеленную на сервисы виртуальных машин и контейнеров Elastic Compute Cloud (EC2) и Elastic Container Service (ECS).

Злоумышленники размещают криптомайнеры на мощностях, получая финансовую выгоду за счет клиентов AWS и самой Amazon, которые несут затраты на вычислительные ресурсы.

Для атаки использовался образ из созданного в конце октября Docker Hub, который на момент обнаружения имел более 100 000 загрузок. Amazon подчеркнула, что злоумышленники не взламывали само ПО, а входили в учетные записи клиентов, используя украденные данные.

Отчет также указывает, что особенность данной кампании заключается в использовании настроек, которые не позволяют администраторам удаленно отключать машины. Это заставляло экспертов по безопасности сначала вручную отключать защиту, прежде чем они могли приостановить процесс майнинга.

Amazon предупредила пострадавших клиентов о необходимости смены скомпрометированных учетных данных. Вредоносный образ был удален из Docker Hub, однако специалисты предостерегли о возможном повторном распространении данного ПО под другими учетными записями или названиями.

Инвестор в биткоины стал жертвой схемы мошенничества «забоя свиней». Об этом сообщил биткоин-консультант The Bitcoin Adviser Теренс Майкл.

По его словам, неназванный клиент перевел первую криптовалюту мошеннику, который выдавал себя за трейдера и обещал удвоить его средства. Эксперт отметил, что злоумышленник также изображал себя влюбленной женщиной, заинтересованной в инвесторе.

Несмотря на «многочисленные звонки» и «серии текстовых сообщений» с предупреждениями, Майкл не смог убедить клиента не отправлять BTC.

«[…] накануне вечером, когда я был на ужине, я получил от него шокирующее сообщение о том, что он потерял всё».

Помимо потери пенсионных накоплений, недавно разведенный инвестор также купил мошеннику авиабилет, ожидая встречи с «женщиной». После перевода средств злоумышленник признался, что фотографии, которые он использовал, были созданы с помощью ИИ.

Рекламный алгоритм бытового холодильника, случайно совпавший с именем хозяйки, вызвал у нее серьезный психоз.