Мы собрали наиболее важные новости из мира кибербезопасности за неделю.
Блокчейн-разработчики все чаще становятся целью хакеров.
Канадская полиция изъяла более $40 млн в криптовалюте.
Экосистему JavaScript атакует саморазмножающийся «червь».
Атака на автопром может отразиться на экономике Великобритании.
Блокчейн-разработчики все чаще становятся целью хакеров
Разработчики ПО все больше привлекают криптоворов. По данным исследователей кибербезопасности Koi Security, группа хакеров WhiteCobra атаковала пользователей сред разработок кода VSCode, Cursor и Windsurf. Они разместили 24 вредоносных расширения на площадке Visual Studio Marketplace и в реестре Open VSX.
Одной из жертв «опустошителей» стал ключевой разработчик Ethereum Зак Коул.
I've been in crypto for over 10 years and I’ve Never been hacked. Perfect OpSec record.Yesterday, my wallet was drained by a malicious @cursor_ai extension for the first time.If it can happen to me, it can happen to you. Here’s a full breakdown. 🧵👇— zak.eth (@0xzak) August 12, 2025
По его словам, киберпреступники украли криптовалюту с помощью плагина для ИИ-редактора кода Cursor. Коул объяснил, что расширение имело все признаки безвредного продукта: профессионально разработанный логотип, подробное описание и 54 000 загрузок на OpenVSX — официальном реестре Cursor.
В Koi Security уверены, что WhiteCobra относится к той же группе, которая в июле украла цифровые активы на $500 000 у российского блокчейн-программиста.
«Кросс-совместимость и отсутствие надлежащей проверки при публикации на этих платформах делают их идеальными для злоумышленников, стремящихся проводить кампании с широким охватом», — говорится в отчете Koi Security.
Опустошение кошелька начинается с выполнения основного файла extension.js, который почти идентичен стандартному шаблону Hello World, поставляемому с каждым шаблоном расширения VSCode. Далее зловред распаковывает ПО-стиллер в зависимости от вида ОС.
В фокусе злоумышленников из WhiteCobra — держатели цифровых активов на сумму от $10 000 до $500 000. Аналитики считают, что группировка способна развернуть новую кампанию менее чем за три часа.
Пример легитимного и фейкового расширения для разработчиков. Источник: Koi Security.
Пока что злоумышленников сложно остановить: хотя вредоносные плагины удаляются из OpenVSX, на их месте тут же появляются новые.
Исследователи рекомендуют стараться использовать только известные проекты с хорошей репутацией и с осторожностью относиться к новым релизам, которые собрали большое количество загрузок и положительных отзывов за короткий промежуток времени.
Канадская полиция изъяла более $40 млн в криптовалюте
Федеральная полиция Канады провела крупнейшую в истории страны конфискацию криптовалюты. На это обратил внимание ончейн-детектив ZachXBT.
Правоохранители изъяли с платформы TradeOgre цифровые активы на сумму более 56 млн канадских долларов (~$40,5 млн). Закрытие платформы для обмена криптовалют стало первым подобным случаем в истории страны.
Расследование началось в июне 2024 года по наводке Европола. Оно показало, что площадка нарушала канадские законы и не прошла регистрацию в Центре анализа финансовых операций и отчетов как предприятие, оказывающее услуги по обмену денег.
У следователей есть основания полагать, что большая часть средств, которыми проводились операции на TradeOgre, поступала из преступных источников. Платформа привлекла злоумышленников отсутствием обязательной идентификации личности пользователя.
Согласно заявлению полиции, данные о транзакциях, полученные с TradeOgre, будут проанализированы для предоставления обвинений. Расследование продолжается.
https://forklog.com/news/derzhateli-kaspa-obvinili-birzhu-tradeogre-v-hishhenii-monet-na-summu-bolee-6-mln
Экосистему JavaScript атакует саморазмножающийся «червь»
После атаки на платформу NPM для внедрения в пакеты JavaScript вредоносного ПО злоумышленники перешли к стратегии распространения полноценного «червя». Инцидент набирает обороты: на момент написания известно о более чем 500 скомпрометированных NPM-пакетах.
Скоординированная кампания Shai-Hulud началась 15 сентября с компрометации NPM-пакета @ctrl/tinycolor, который еженедельно скачивается более 2 млн раз.
Согласно аналитикам Truesec, за эти дни кампания значительно расширилась и теперь включает пакеты, опубликованные в пространстве имен CrowdStrike.
По словам экспертов, скомпрометированные варианты содержат функцию, которая извлекает tar-архив пакета, изменяет файл package.json, внедряет локальный скрипт, пересобирает архив и заново публикует его. При установке автоматически выполняется скрипт, который загружает и запускает TruffleHog — легитимный инструмент для сканирования секретов и поиска токенов.
В Truesec считают, что атака существенно масштабируется и становится изощреннее. Хотя злоумышленники используют множество старых приемов, они значительно усовершенствовали свой подход, превратив его в полностью автономного «червя». Вредоносное ПО выполняет следующие действия:
собирает секреты и публично раскрывает их на GitHub;
выполняет TruffleHog и опрашивает конечные точки метаданных облака для извлечения конфиденциальных учетных данных;
пытается внедрить рабочий процесс GitHub Actions, предназначенный для эксфильтрации данных через webhook.site;
перечисляет все доступные репозитории GitHub для скомпрометированного пользователя и принудительно делает их публичными.
Выдающейся чертой этой атаки является ее стиль. Вместо того, чтобы полагаться на один зараженный объект, она автоматически распространяется на все NPM-пакеты.
Атака на автопром может отразиться на экономике Великобритании
Jaguar Land Rover (JLR) третью неделю подряд не может наладить производство из-за кибератаки. Производитель автомобилей класса люкс сообщил, что его конвейеры остановлены как минимум до 24 сентября.
В компании подтвердили, что злоумышленники похитили информацию из ее сети, однако пока не возлагает ответственность за атаку на конкретную хакерскую группировку.
По данным BleepingComputer, о своей причастности к кибератаке заявила группа киберпреступников Scattered Lapsus$ Hunters, опубликовавшая в Telegram-канале скриншоты внутренней системы JLR. В записи утверждается, что хакеры также развернули программу-вымогатель на скомпрометированной инфраструктуре компании.
По подсчетам BBC, каждая неделя простоя обходится компании минимум в 50 млн фунтов стерлингов (~$68 млн). В свою очередь, The Telegraph оценивает потери за тот же период в ~$100 млн. Поставщики JLR обеспокоены тем, что не смогут справиться с неожиданным кризисом, и опасаются банкротства.
Секретные данные «Великого китайского файрвола» попали в открытый доступ
12 сентября исследователи из команды Great Firewall Report сообщили о крупнейшей утечке данных за всю историю «Великого китайского файрвола».
В сеть попало около 600 ГБ внутренних документов, исходных кодов, внутренней переписки разработчиков, используемых для создания и поддержания китайской национальной системы фильтрации трафика.
По словам исследователей, утечка содержит полноценные системы сборки платформ отслеживания трафика, а также модули, отвечающие за распознавание и замедление определенных инструментов обхода блокировок. Большая часть стека нацелена на обнаружение запрещенного в Китае VPN.
Специалисты Great Firewall Report утверждают, что часть документации относится к платформе Tiangou — коммерческому продукту, предназначенному для использования провайдерами и пограничными шлюзами. Эксперты считают, что первые итерации программы развертывали на серверах HP и Dell.
Кроме того, в раскрытых документах есть упоминание установки этого софта в 26 дата-центрах Мьянмы. Система якобы управлялась государственной телекоммуникационной компанией и была интегрирована в основные точки обмена интернет-трафиком, что позволило осуществлять как массовую блокировку, так и выборочную фильтрацию.
Согласно Wired и Amnesty International, инфраструктура также экспортировалась в Пакистан, Эфиопию, Казахстан и другие страны, где используется наряду с другими платформами законного перехвата трафика.
Потребители люксовой продукции на карандаше у хакеров
15 сентября владелец множества люксовых брендов концерн Kering, подтвердил утечку данных, затронувшую клиентов его дочерних компаний Gucci, Balenciaga, Alexander McQueen, Yves Saint Laurent.
По данным BBC, хакеры похитили персональные данные, включая имена, адреса электронной почты, номера телефонов, домашние адреса, а также общую сумму денег, потраченную покупателями в магазинах по всему миру.
За атакой, предположительно, стоит хакерская группа ShinyHunters, которая утверждает, что похитила личные данные как минимум 7 млн человек, однако число пострадавших, вероятно, значительно выше.
Группировку также подозревают в причастности к похищению множества баз, размещенных в Salesforce. Несколько компаний, включая Allianz Life, Google, Qantas и Workday, подтвердили факт кражи данных в результате этих массовых взломов.
Также читайте на ForkLog:
CZ предупредил об угрозе «подставных сотрудников» из КНДР.
Обновленный иск раскрыл детали взлома биткоин-биржи Coinbase.
В сети Ethereum «застряли» токены DYDX стоимостью $26 млн.
Израиль потребовал заморозки связанных с террористами 1,5 млн USDT.
В Monero произошла крупнейшая за 12 лет реорганизация блоков.
Мост Shibarium подвергся взлому на ~$2,3 млн.
Что почитать на выходных?
ForkLog изучил предложения Privacy Stewards for Ethereum — новой команды в составе Ethereum Foundation — и рассказал, как сотрудники организации собираются внедрить приватность на всех уровнях сети, вплоть до приложений.
https://forklog.com/exclusive/provodniki-privatnosti
