Разработчик потерял $500 тыс. из-за поддельного пакета с бэкдором

Разработчик потерял $500 тыс. из-за поддельного пакета с бэкдором

Разработчик потерял $500 тыс. из-за поддельного пакета с бэкдором

В «Лабораторию Касперского» обратился российский разработчик в сфере блокчейна — у него с криптокошельков похитили криптовалюту примерно на полмиллиона долларов. Специалисты из команды Kaspersky GReAT провели расследование и выяснили, что всё началось с поддельного opensource-пакета.

Этот пакет маскировался под полезное расширение для среды Cursor AI — это такая среда разработки с поддержкой ИИ.

На вид — обычное расширение для работы с кодом на языке Solidity. На деле — ловушка: вместо помощи с кодом оно скачивало вредоносные программы.

Что произошло?

Разработчик ввёл в поиске по репозиторию нужный ему запрос, увидел первое в списке «популярное» расширение — и скачал его. У него было аж 54 тысячи установок (накрученных, как оказалось). Установка прошла быстро, но вместо полезного функционала на компьютер незаметно попали:

  • ScreenConnect — для удалённого доступа,
  • бэкдор Quasar,
  • стилер, собирающий данные из браузеров, почты и криптокошельков.

В итоге злоумышленники получили полный контроль над устройством, вывели все средства с кошельков и скрылись.

Что было дальше?

Фейковое расширение удалили, но хакеры опубликовали его заново — и снова накрутили статистику: теперь уже до 2 миллионов установок. Всё это время оригинальное расширение набрало только 61 тысячу. Повторно фальшивку тоже удалили — благодаря сигналу от «Лаборатории Касперского».

Почему это сработало?

По словам экспертов, отличить вредоносный opensource-пакет становится всё сложнее. Злоумышленники используют всё более хитрые приёмы. В такие ловушки попадаются даже опытные специалисты, особенно из мира блокчейна.

«Мы ожидаем, что атаки на криптовладельцев будут продолжаться. Поэтому очень важно не экономить на защите данных и использовать проверенные средства безопасности», — говорит Георгий Кучерин из Kaspersky GReAT.

Позже выяснилось, что эта же группа опубликовала и вредоносный NPM-пакет, и ещё несколько фальшивых расширений для Visual Studio Code. Все они к настоящему моменту уже удалены.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вишинг-атака помогла похитить данные клиентов Cisco

Как сообщила Cisco, злоумышленник смог обманом получить доступ к данным пользователей Cisco.com. Всё произошло после фишингового звонка (так называемый «вишинг» — когда атакуют через голосовую связь), во время которого киберпреступник притворился сотрудником и убедил представителя Cisco выдать ему доступ.

Инцидент обнаружили 24 июля. Киберпреступник получил и выгрузил часть данных из облачной CRM-системы, с которой Cisco работает через стороннего подрядчика.

Утекла базовая информация о клиентах: имена, названия компаний, адреса, имейлы, телефоны, ID пользователей, а также технические детали вроде даты создания аккаунта.

Сколько всего пользователей пострадало — в Cisco не говорят. Представитель компании отказался уточнить масштабы утечки.

Судя по всему, это не первый случай взлома через такие CRM-платформы. Ранее сообщалось о похожих инцидентах у Allianz Life, Tiffany & Co., Qantas и других компаний, данные которых хранились в системах Salesforce. Известно, что Cisco тоже является клиентом Salesforce.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru