Опасная «безопасность» в Telegram, ущерб MetaMask и OKX на $4,7 млн и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Расширения MetaMask и OKX в браузере AdsPower подверглись атаке

21 января хакеры атаковали цепочку поставок ориентированного на конфиденциальность браузера AdsPower. Согласно последним выводам экспертов, конечной целью внедрения вредоносного кода являлись расширения кошельков MetaMask и OKX.

Might be one to watch for more information. Some info points to MetaMask (!) and OKX including malicious libraries. Based on the dates provided it could be OKX 3.39.9 and MetaMask 12.10.1. Will look into it deeper. https://t.co/htzB4nJ7df

— tuckner (@tuckner) February 5, 2025

По словам аналитиков SlowMist, злоумышленники встроили в браузер бэкдор, через который похищали мнемонические фразы восстановления и закрытые ключи для дальнейшего хищения криптовалют.

Инцидент оставался незамеченным три дня, после чего разработчики AdsPower удалили код и целевые расширения из браузеров пользователей. Потенциальных пострадавших уведомили об атаке и рекомендовали вывести средства на безопасные адреса. 

По предварительным оценкам, сумма ущерба может достигать около $4,7 млн. Расследование продолжается.

Пользователей Telegram предупредили об угрозе из-за сообщений от аккаунта под ником «Безопасность»

Аналитики F.A.C.C.T. Threat Intelligence зафиксировали активизацию схемы по угону аккаунтов Telegram, в ходе которой злоумышленники рассылают сообщения от пользователя под ником «Безопасность» и логотипом мессенджера на аватарке. Задача — убедить жертву, что в ее учетную запись якобы осуществлен несанкционированный вход.

Сообщение содержит ссылку «для усиления защиты данных». Но при переходе открывается фишинговый ресурс, требующий авторизации в Telegram с помощью QR-кода. Если жертва проходит эту процедуру, злоумышленники получают доступ к ее аккаунту.

Ранее аналогичную услугу с полной выгрузкой сообщений и контента предлагали в 2023 году по цене $17 000 (более 1,5 млн рублей).

Ориентированный на биткоин-кошельки троян попал в магазины приложений

Эксперты «Лаборатории Касперского» обнаружили в магазинах App Store, Google Play и на неофициальных площадках троян SparkCat, нацеленный на кражу данных криптокошельков.

⚠️ A new mobile threat is on the rise! The #SparkCat malware is stealing sensitive data from iOS and Android users through OCR technology. Find out how it works and how to protect yourself. 🛡️📱

🔗 Read more: https://t.co/RuXVT7jSus
#MobileSecurity pic.twitter.com/y4TZFhiDev

— Kaspersky (@kaspersky) February 7, 2025

Вредонос распространяется в составе зараженных мессенджеров, ИИ-ассистентов и приложений для доставки еды.

Попав на устройство, SparkCat запрашивает доступ к просмотру фото. Троян умеет анализировать текст на изображениях в галерее, используя модель оптического распознавания символов (OCR). При обнаружении фразы для восстановления доступа к криптокошелькам он отправляет картинку злоумышленникам. Под угрозой также и другие данные, например содержание сообщений или пароли, если они есть на скриншотах.

SparkCat нацелен на пользователей из ОАЭ, стран Европы и Азии. Программы со встроенным вредоносным модулем только одни пользователи Android скачали более 242 000 раз.

После уведомления «Лаборатории Касперского» Google и Apple удалили троянизированные приложения из магазинов.

Сотни ИИ-разработчиков скачали стилер под видом DeepSeek

Исследователи Positive Technologies нашли в библиотеке Python Package Index (PyPI) два вредоносных пакета deepseek и deepseekai, маскирующиеся под инструменты для ИИ-разработчиков.

После запуска на компьютере ПО похищало пользовательские и системные данные, а также ключи API и разрешения на доступ к другим ресурсам инфраструктуры.

После уведомления PyPI немедленно поместила пакеты в карантин и вскоре полностью удалила с платформы. Несмотря на быструю реакцию, их успели скачать 222 разработчика, в том числе из США, Китая, РФ, Германии, Гонконга и Канады.

Из-за угрозы компрометации им рекомендовали немедленно сменить ключи API, токены аутентификации и пароли.

Испанская полиция изъяла 50 криптокошельков у подозреваемого во взломе НАТО и ООН 

В Аликанте задержан и помещен под домашний арест подозреваемый во взломе не менее 40 государственных и частных организаций Испании и США. Расследование кибератак велось с января 2024 года.

По данным ведомства, фигурант получал доступ к внутренним документам, а также базам данных, содержащим персональные сведения сотрудников и клиентов. Впоследствии он продавал их на хакерских форумах. В числе его жертв Гражданская гвардия и Минобороны Испании, НАТО, ООН, армия США и различные университеты.

В ходе обыска в доме подозреваемого полиция обнаружила и изъяла несколько компьютеров, электронных устройств и 50 криптовалютных кошельков, содержащих различные цифровые активы. 

По совокупности потенциальных обвинений фигуранту грозит до 20 лет тюрьмы. Проверяется его причастность к другим преступлениям и наличие сообщников.

В ФНС объяснили порядок хранения информации о добытых в РФ биткоинах

Налоговая служба РФ ограничит доступ к информации о добытых криптовалютах и адресах-идентификаторах майнеров. Об этом в своем Telegram-канале сообщил депутат Антон Горелкин. 

По его словам, предприниматели обеспокоены вопросом сохранности сверхчувствительных данных, к которым относятся сведения о криптокошельках. Горелкин согласился, что их утечка может стать «большим подарком геополитическим противникам».

«В ФНС меня заверили, что информация хранится в отдельной внутренней защищенной системе, и доступ к ней серьезно ограничен даже внутри ведомства, а получить его извне практически невозможно», — написал чиновник.

Ссылаясь на заявление специалистов, Горелкин резюмировал, что риск утечки чувствительных данных из внутренних систем налоговой «сегодня сведен к нулю».

Также на ForkLog:

• Фишеры обновили методы охоты на пользователей Phantom.
• Разработчик Tornado Cash Алексей Перцев выйдет на свободу 7 февраля.
• Доходы биткоин-вымогателей сократились с $1,25 млрд до $813 млн.
• Топ-менеджер Coinbase предположил, что Kraken может раскрыть личность Сатоши Накамото.
• СМИ: дело Дурова поступит в суд не ранее 2026 года.
• Пользователи потеряли средства из-за рекламы мем-коина во взломанном X-аккаунте Jupiter.
• Deribit остановит обслуживание клиентов из РФ в рамках соблюдения санкций.
• В Украине криптопроект «с годовой доходностью 1045%» включили в список ненадежных.
• В Ripple рассказали о причинах сбоя в XRP Ledger.
• DeepSeek под запретом: в каких странах ограничили китайский ИИ.
• За два месяца клиенты Coinbase потеряли более $65 млн из-за скамеров.
• Канадца обвинили в краже $65 млн у KyberSwap и Indexed Finance.

Что почитать на выходных?

Вместе с экспертом «Шард» разбираем, как провайдеру ликвидности не потерять стартовый капитал и не обогатить мошенников.