Разработчик потерял $500 тыс. из-за поддельного пакета с бэкдором

Екатерина Быстрова 11 Июля 2025 - 17:56

...

Разработчик потерял $500 тыс. из-за поддельного пакета с бэкдором

В «Лабораторию Касперского» обратился российский разработчик в сфере блокчейна — у него с криптокошельков похитили криптовалюту примерно на полмиллиона долларов. Специалисты из команды Kaspersky GReAT провели расследование и выяснили, что всё началось с поддельного opensource-пакета.

Этот пакет маскировался под полезное расширение для среды Cursor AI — это такая среда разработки с поддержкой ИИ.

На вид — обычное расширение для работы с кодом на языке Solidity. На деле — ловушка: вместо помощи с кодом оно скачивало вредоносные программы.

Что произошло?

Разработчик ввёл в поиске по репозиторию нужный ему запрос, увидел первое в списке «популярное» расширение — и скачал его. У него было аж 54 тысячи установок (накрученных, как оказалось). Установка прошла быстро, но вместо полезного функционала на компьютер незаметно попали:

ScreenConnect — для удалённого доступа,
бэкдор Quasar,
стилер, собирающий данные из браузеров, почты и криптокошельков.

В итоге злоумышленники получили полный контроль над устройством, вывели все средства с кошельков и скрылись.

Что было дальше?

Фейковое расширение удалили, но хакеры опубликовали его заново — и снова накрутили статистику: теперь уже до 2 миллионов установок. Всё это время оригинальное расширение набрало только 61 тысячу. Повторно фальшивку тоже удалили — благодаря сигналу от «Лаборатории Касперского».

Почему это сработало?

По словам экспертов, отличить вредоносный opensource-пакет становится всё сложнее. Злоумышленники используют всё более хитрые приёмы. В такие ловушки попадаются даже опытные специалисты, особенно из мира блокчейна.

«Мы ожидаем, что атаки на криптовладельцев будут продолжаться. Поэтому очень важно не экономить на защите данных и использовать проверенные средства безопасности», — говорит Георгий Кучерин из Kaspersky GReAT.

Позже выяснилось, что эта же группа опубликовала и вредоносный NPM-пакет, и ещё несколько фальшивых расширений для Visual Studio Code. Все они к настоящему моменту уже удалены.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 18 Июля 2025 - 13:36

Соответствие законодательству РФ Домашние пользователи Государство

Басманный суд заочно арестовал Сергея Мацоцкого по делу о взятке

Басманный суд Москвы заочно арестовал одного из основателей компании IBS, бывшего члена совета директоров Альфа-банка и «Вымпелкома» Сергея Мацоцкого. Решение принято по ходатайству следствия в рамках уголовного дела о даче взятки в особо крупном размере.

Об этом сообщил «Интерфакс». Подробности уголовного дела официально не раскрываются. По оценке телеграм-канала Mash, Мацоцкому может грозить до 15 лет лишения свободы.

«Постановлением Басманного районного суда города Москвы удовлетворено ходатайство органов предварительного расследования об избрании меры пресечения в виде заключения под стражу в отношении Мацоцкого Сергея Савельевича, обвиняемого в совершении преступлений, предусмотренных ч. 5 ст. 291 УК РФ, меру пресечения в виде заключения под стражу на срок 2 месяца с момента его экстрадиции на территорию Российской Федерации либо с момента его задержания на территории Российской Федерации», — говорится в официальном сообщении судов общей юрисдикции Москвы.

Сергей Мацоцкий — один из основателей ИТ-интегратора IBS. В 2020 году он покинул компанию и создал инвестиционный холдинг «ГС-Инвест». Мацоцкого называют одной из влиятельных фигур в российской ИТ-отрасли. Его состояние оценивается в 14,5 млрд рублей.

Разработчик потерял $500 тыс. из-за поддельного пакета с бэкдором

Читайте также