Хакеры воруют криптовалюту через фейковые звезды на GitHub и ИИ-ролики на YouTube

Check Point Research раскрыли масштабную операцию по распространению вируса класса clipper, которая подменяет адреса криптокошельков в буфере обмена жертвы. Главная особенность кампании в том, что злоумышленники сделали ставку не на маскировку зловреда, а на построение фальшивой репутации вокруг своих программ через GitHub, SourceForge, YouTube и VirusTotal. В под удар попали пользователи Windows и macOS, ориентирующиеся на инструменты для трейдинга и заработка на криптовалюте.

Зловред написан на Rust и работает по элементарной схеме. Программа постоянно следит за содержимым буфера обмена, выискивая там криптокошельки. Стоит пользователю скопировать адрес для перевода средств, как код моментально подменяет его на адрес преступников, и человек сам отправляет деньги мошенникам, не подозревая о подмене.

Приманкой служат программы, заточенные под жадность и азарт криптосообщества. В ход идут торговые боты, сервисы поиска выгодных сделок, анализаторы рыночных движений и приложения, обещающие предсказать обвал рынка до того, как он случится. Расчёт построен на людях, мечтающих обогнать рынок и сорвать куш быстрее остальных.

Распределительным центром операции выступает сайт на WordPress, который перенаправляет посетителей на разные площадки с заражёнными файлами. Внешне всё выглядит как рутинная рекламная раскрутка очередного криптосервиса, и до момента скачивания подозрений почти не возникает.

Стоит обратить внимание, что злоумышленники потратили на создание иллюзии доверия больше ресурсов, чем на сам вредоносный код.

Для накрутки доверия задействована сеть фейковых аккаунтов сразу на нескольких платформах:

• на GitHub нашли минимум 6 учёток с репозиториями, накрученными звёздами, форками и поддельной активностью сообщества;
• на SourceForge отдельные проекты показывали свыше 44 000 загрузок;
• бо́льшая часть этих скачиваний якобы шла с Android, хотя версий под мобильную ОС вообще не существовало;
• на YouTube работали ролики с виртуальными дикторами и синтезированными голосами;
• видео сопровождались резкими скачками просмотров и шквалом восторженных отзывов.

Многие комментарии и реакции под роликами, по оценке Check Point Research, были организованы централизованно ради раскрутки. Для случайного зрителя репозиторий с тысячами звёзд или ролик с десятками тысяч просмотров выглядит как продукт, прошедший проверку временем и сообществом, хотя за всем этим стоит автоматика и купленная активность.

Отдельная находка касается VirusTotal. Сервис, к которому люди обращаются за независимой оценкой подозрительных файлов, преступники превратили в собственную рекламную площадку. В карточках файлов появлялись комментарии и голоса, создающие иллюзию полной безопасности загрузок. Вкупе со слабым детектированием со стороны части антивирусных движков это убеждало человека, что предупреждения отдельных защитников — ложная тревога.

Отмечается, что приём с VirusTotal оказался самым необычным элементом всей кампании, поскольку именно этому сервису пользователи привыкли доверять безоговорочно.

Раскрутка дополнялась публикациями на известных новостных площадках. Часть материалов, по версии исследователей, размещалась платно, а часть появилась на ресурсах, которые были взломаны ранее. Упоминания на узнаваемых сайтах работали как ещё один слой легитимности, и пользователь видел знакомые логотипы изданий рядом с описанием якобы полезного инструмента.

Сам код после запуска ведёт себя прямолинейно. Загрузчик ставит основной модуль, прописывает его в автозагрузку и начинает бесконечный мониторинг буфера обмена. Внутри программы содержится внушительный список адресов для подмены:

• более 15 500 криптовалютных адресов в базе зловреда;
• бо́льшая часть приходится на сеть Bitcoin;
• подмена срабатывает при копировании любого подходящего адреса;
• жертва видит в буфере чужой кошелёк, но визуально подмену почти невозможно заметить;
• средства уходят прямиком злоумышленникам без шанса на возврат.

Версия под macOS опирается на социальную инженерию. В комплект входит скрипт, который проводит пользователя через процедуру снятия защитных ограничений Apple и обхода Gatekeeper для запуска неподписанного приложения. По факту жертва собственными руками демонтирует штатную защиту системы, открывая дорогу зловреду.

Удалять программу непросто, причём macOS-вариант сопротивляется отчаяннее всего. Сторожевой механизм раз в 30 секунд проверяет наличие основных компонентов и восстанавливает их при пропаже. Даже после ручной чистки отдельных файлов код пересоздаёт свои копии и продолжает работать как ни в чём не бывало.

Кампания фиксирует разворот в логике распространения зловредов. Раньше преступники прятали свои инструменты от глаз пользователей и аналитиков, теперь же выстраивают вокруг них витрину популярного и востребованного продукта со всеми атрибутами успешного проекта.

Та же модель легко переносится на другие виды зловредов. Накрутка, фальшивое доверие и масштабная раскрутка пригодятся для распространения стилеров, средств удалённого доступа и других опасных программ. В перспективе подобные схемы способны стать первым звеном в цепочке атак на корпоративные сети с финалом в виде шифровальщика и многомиллионного выкупа.

Ранее мы писали о том, что в Европе была зафиксирована масштабная кампания по распространению Android-вредоноса NFCShare через GitHub. Троян маскировался под обновления банковских приложений и использовал более 50 поддельных программ для атак на пользователей. Главной целью злоумышленников были данные платёжных карт. Для кражи информации жертв убеждали самостоятельно приложить банковскую карту к смартфону под предлогом проверки безопасности. По данным исследователей, с мая 2025 года активность кампании выросла в несколько раз.

Эксперты редакции CISOCLUB уточняют, что описанная кампания знаменует переход атакующих в плоскость маркетинга и работы с восприятием жертвы. Технически clipper-зловреды известны давно и ничего революционного в коде нет, но именно обёртка из звёзд, просмотров и комментариев превращает банальный инструмент в массовую угрозу. Главный риск редакция видит не в самой подмене адресов, а в том, что у пользователей рушится привычная система ориентиров — репозиторий с тысячами звёзд и положительные отзывы на VirusTotal перестают быть признаком безопасности.

По мнению редакции, защитному сообществу придётся пересматривать критерии оценки репутации проектов и закладывать в обучение сотрудников проверку метаданных активности, а не только результатов антивирусной проверки. Производителям платформ вроде GitHub, SourceForge и YouTube стоит ужесточить борьбу с накруткой, иначе их сервисы окончательно превратятся в инфраструктуру для криминальных операций.