Хакеры внедрили вредоносный код на CoinMarketCap с целью кражи криптовалюты пользователей через фальшивое Web3-окно

Хакеры внедрили вредоносный код на CoinMarketCap с целью кражи криптовалюты пользователей через фальшивое Web3-окно

Изображение: recraft

Платформа CoinMarketCap, широко используемая для мониторинга котировок цифровых активов, оказалась в центре атаки, направленной на пользователей Web3-кошельков. Вредоносная активность была зафиксирована вечером 20 июня, когда на главной странице ресурса начало отображаться всплывающее окно с предложением подключить криптовалютный кошелёк. При подтверждении действия цифровые активы немедленно утекали злоумышленникам.

Как подчёркивается в официальной публикации CoinMarketCap, компрометация безопасности связана с элементом интерфейса — картинкой «doodle», которая, как выяснилось, содержала вредоносную ссылку, запускавшую подставной API. Через эту уязвимость активировался скрипт, маскирующийся под законную транзакцию, но на деле служивший инструментом кражи.

Компания c/side, специализирующаяся на кибербезопасности, дала техническое объяснение инциденту. Эксперты отметили, что атакующие получили доступ к API, с которого загружалась визуальная составляющая главной страницы. Внедрённый JSON-файл содержал вредоносный фрагмент, перенаправлявший на сторонний ресурс «static.cdnkit[.]io», откуда и происходила загрузка скрипта-воришки. После загрузки страница демонстрировала окно подключения кошелька с имитацией фирменного оформления CoinMarketCap и поддельным запросом на транзакцию. На деле — это была тщательно замаскированная попытка кражи цифровых активов.

Представители c/side отдельно указали, что подобные атаки относятся к типу атак на цепочку поставок. То есть, сам сервер CoinMarketCap не подвергался прямому вмешательству — уязвимость была встроена через внешние зависимости. В компании также подчеркнули, что подобные сценарии часто остаются незамеченными, так как затрагивают доверенные элементы инфраструктуры.

Дополнительные подробности стали известны позже. По информации исследователей, один из участников атаки, использующий псевдоним Рей, разместил в Telegram снимок экрана панели управления вредоносной системой. Из опубликованных данных следует, что в результате инцидента пострадали 110 пользователей, у которых было выведено более 43 тыс. долларов. Переписка между участниками проводилась на французском языке, что может свидетельствовать о географическом происхождении группы.

CoinMarketCap уверяет, что все последствия были устранены, система очищена и сейчас функционирует в штатном режиме. По словам представителей платформы, безопасность восстановлена, и никаких угроз для пользователей больше не зафиксировано.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: