Компания Mosyle, занимающаяся вопросами безопасности, обнаружила разновидность вредоносного ПО, способную обходить антивирусные программы и красть информацию из криптовалютных кошельков в браузерах. Вредоносная программа распространяется через поддельные объявления о вакансиях в интернете.
Крупные антивирусные программы почти месяц не обнаруживали вредоносную программу ModStealer, прежде чем сообщить о ней. Она нацелена на разработчиков, уже работающих в среде Node.js. ModStealer сканирует браузер на наличие расширений криптокошельков,dentданных системы и цифровых сертификатов, прежде чем отправить украденную информацию на сервер управления и контроля (C2). Сервер C2 выступает в качестве центрального узла для мошенников, управляющих скомпрометированными устройствами.
ModStealer использует уязвимости Node.js для кражи закрытых ключей
Согласно исследованию 9to5Mac , вредоносная программа ModStealer маскировалась в системах macOS под фоновую вспомогательную программу, чтобы обеспечить постоянное присутствие в системе, автоматически запускаясь matic каждой перезагрузке компьютера. В зараженных системах был обнаружен файл с именем sysupdater.dat и необычные соединения с подозрительными серверами.
Шань Чжан, директор по информационной безопасности компании SlowMist, специализирующейся на безопасности блокчейна, сообщил, что ModStealer избегает обнаружения основными антивирусными программами и представляет значительный риск для экосистемы цифровых активов. Он добавил, что вредоносная программа поддерживает несколько платформ и выполняется скрытно, что отличает ее от традиционных вредоносных программ.
Чарльз Гийеме, технический директор Ledger, сообщил об еще одной аналогичной атаке, которая позволила злоумышленникам взломать учетную запись разработчика Node Package Manager (npm) в попытке распространить вредоносный код, который может незаметно заменять адреса кошельков во время транзакций. Он предупредил, что подобные инциденты dent , насколько уязвимыми могут быть библиотеки кода, связанные с блокчейном.
«Ошибки злоумышленников привели к сбоям в конвейерах CI/CD, что позволило обнаружить проблему на ранней стадии и ограничить её последствия. Тем не менее, это ясное напоминание: если ваши средства хранятся в программном кошельке или на бирже, вас отделяет всего одно выполнение кода от потери всего. Компрометация цепочек поставок остается мощным вектором распространения вредоносного ПО, и мы также наблюдаем появление всё большего числа целенаправленных атак»
– Шарль Гийме , технический директор Ledger
Чжан предупредил, что вредоносная программа ModStealer представляет прямую угрозу для пользователей и платформ криптовалют, добавив, что для отдельных пользователей компрометация закрытых ключей, сид-фраз и ключей API бирж может привести к немедленным потерям. Он также отметил, что массовая кража данных кошельков из расширений для браузеров может подпитывать крупномасштабные атаки в блокчейне и ослаблять доверие пользователей, одновременно увеличивая риски во всех цепочках поставок криптовалюты.
Новые кибератаки нацелены на данные криптокошельков
Гийеме обнаружил , что экосистема JavaScript была скомпрометирована в результате масштабной атаки на цепочку поставок, направленной на такие библиотеки, как chalk, strip-ansi, color-convert и error-ex. Затронутые пакеты загружаются более миллиарда раз в неделю, что представляет серьезную угрозу для экосистемы блокчейна.
Вредоносное ПО работало как криптоклиппер, то есть могло заменять адреса кошельков в сетевых запросах или изменять транзакции, инициированные через MetaMask и другие кошельки. Атака была обнаружена из-за незначительной ошибки сборки в конвейере CI/CD. Позже исследователи выяснили, что вредоносное ПО использовало две стратегии. Первая стратегия заключалась в пассивной замене адресов, которая отслеживала исходящие запросы трафика и заменяла адреса кошельков адресами, контролируемыми угонщиком. Она использовала алгоритм расстояния Левенштейна, который выбирает похожие адреса, что затрудняет визуальное обнаружение изменений.
Ещё одним методом, использованным злоумышленниками, был активный перехват транзакций, при котором изменяются ожидающие транзакции в памяти, прежде чем они будут отправлены на подтверждение пользователю после обнаружения криптовалютного кошелька. Это обманом заставляло пользователей подписывать переводы непосредственно на кошелек злоумышленника.
Аналогичные dent были зафиксированы на Cryptopolitan , где исследование ReversingLabs выявило еще одно вредоносное ПО, скрытое в смарт- trac Ethereum . Атака осуществлялась через пакеты npm, включая colortoolv2 и mimelib2, которые выступали в качестве агентов второго этапа, загружая вредоносное программное обеспечение, хранящееся в Ethereum .
Компания ReversingLabs обнаружила, что вредоносное ПО обходило проверки безопасности, скрывая вредоносные URL-адреса в смарт-tracEthereum . Впоследствии оно загружалось через поддельные репозитории GitHub, которые выдавали себя за ботов для торговли криптовалютой. Операция была связана с сетью Ghost Network компании Stargazer, системой скоординированных атак, повышающей легитимность вредоносных репозиториев.
