Киберугрозы недели: от кражи криптовалюты экс-главы Ripple до вредоносного ПО для разработчиков Ethereum

Мы приготовили обзор самых значимых событий в сфере кибербезопасности за прошедшую неделю.

Власти Соединенных Штатов изъяли $23,6 миллиона в криптовалютах, которые были похищены в результате взлома менеджера паролей в 2022 году. Согласно материалам дела, с июня 2024 года по февраль 2025 года правоохранительные органы смогли отследить похищенные средства на таких криптобиржах, как OKX, Payward Interactive, Inc. (управляется Kraken), WhiteBIT, AscendEX Technology SRL, Ftrader Ltd (управляется FixedFloat), SwapSpace LLC и Rabbit Finance LLC (управляется CoinRabbit).

Хотя следователи не назвали конкретного менеджера паролей, в поданных документах указано, что платформа подверглась «двум серьезным утечкам данных» в августе и ноябре 2022 года. Данные временные рамки совпадают с инцидентами платформы LastPass.

Ончейн-аналитик ZachXBT сообщил, что это изъятие связано с кражей $150 миллионов (283 миллиона XRP) у соучредителя Ripple Криса Ларсена в январе 2024 года.

«Взлом кошелька Ларсена произошел из-за хранения закрытых ключей в LastPass. Ранее он не упоминал причину утраты средств», — отметил аналитик.

Представители LastPass, в свою очередь, комментируя ситуацию для Bleeping Computer, сообщили, что правоохранительные органы «не представили убедительных доказательств связи утечки криптовалюты с нашим инцидентом».

Исследователи из Socket выявили вредоносный пакет на Python Package Index (PyPI) под названием «set-utils», который крадет закрытые ключи Ethereum. С начала 2025 года он был загружен более 1000 раз, однако общее число потенциальных жертв может быть значительно выше.

Данный пакет маскируется под утилиту для Python и имитирует популярные «python-utils», которые насчитывают 712 миллионов загрузок, и «utils» с 23,5 миллиона установок. Атаки направлены на разработчиков блокчейнов, использующих библиотеку «eth-account» для управления кошельками, а также на проекты DeFi и Web3-приложения, поддерживающие Ethereum.

Злоумышленники используют стандартные функции для создания Ethereum-кошельков, чтобы перехватывать закрытые ключи во время их генерации на подвергнутом атаке устройстве. Средства выводятся через блокчейн Polygon.

На момент публикации пакет был удален из PyPI. Пользователям, которые загрузили его в свои проекты, рекомендуется предпринять меры безопасности и перевести средства на защищенные адреса.

Специалисты «Лаборатории Касперского» выявили несколько групп фишинговых сайтов, копирующих официальный ресурс чат-бота DeepSeek.

Первая кампания фейковых сайтов распространяла Python-стилер через установку несуществующего клиента DeepSeek для Windows. Вредоносная программа крадет cookie и сессии из браузеров, данные учетных записей различных сервисов, файлы с определенными расширениями и информацию о криптокошельках.

В рамках второй схемы мошенники использовали социальную сеть X как основной канал для распространения ссылок на поддельные сайты. Один из твитов злоумышленников, выдававшихся за австралийскую компанию, набрал 1,2 миллиона просмотров и более ста репостов.

Третья кампания нацелена на технически подкованных пользователей. Загружаемая вредоносная программа маскируется под фреймворк Ollama для работы с большими языковыми моделями на локальных системах. В конце концов, она устанавливает на пораженное устройство модифицированный бэкдор Farfli.

Управление Комиссара по информации Великобритании (ICO) инициировало расследование в отношении TikTok, Imgur и Reddit по соблюдению конфиденциальности несовершеннолетних пользователей.

На текущем этапе ведомство проверяет, были ли допущены нарушения законодательства о защите данных, а также какую информацию платформы используют для определения возраста пользователей.

Если будут выявлены достаточные доказательства нарушений закона, ICO планирует запросить разъяснения у компаний прежде, чем принимать окончательные меры.

Эксперты компании F6 зафиксировали рост случаев краж аккаунтов в мессенджере Telegram. За вторую половину 2024 года только одна группа преступников похитила более 1,24 миллиона аккаунтов, что на 25,5% больше по сравнению с аналогичным периодом 2023 года.

Злоумышленники в основном нацелены на цифровую валюту Telegram Stars и коллекционные виртуальные подарки, включая NFT. Обычно украденные средства выводятся на подставные аккаунты и затем продаются.

Средняя цена аккаунтов, зарегистрированных на российские номера, составляет приблизительно 160 рублей. Эта сумма варьируется в зависимости от наличия премиум-подписки, административных прав в каналах и количества диалогов.

Для создания фишинговых ресурсов злоумышленники применяют веб-панели или Telegram-боты. Пользователей привлекают обещания денежных призов, предупреждения от службы безопасности, подарочные премиум-подписки, голосованием или доступом в закрытые каналы.

Часто в рамках комбинированных схем украденный аккаунт автоначинает распространять мошеннические ссылки. Эти ссылки ведут на фишинговые страницы, якобы предназначенные для составления резюме. Для отправки «резюме работодателю» требуется авторизация через Telegram.

Компания Apple уведомила пользователей из 117 стран о целевых атаках с использованием мобильного шпионского ПО. Эти данные были опубликованы экспертами Amnesty International.

Обычно в таких уведомлениях не указаны имена злоумышленников и конкретные затронутые страны.

В 2024 году Apple дважды отправляла подобные уведомления.

Мы также рассматриваем негативное влияние мем-коинов на криптоиндустрию.