СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
23 апреля
#Dev#ИБ

Новые угрозы: вредоносные пакеты на npm и PyPI крадут криптоданные

Новые угрозы: вредоносные пакеты на npm и PyPI крадут криптоданные

Недавние исследования, проведенные исследователями Socket, выявили серию вредоносных пакетов, доступных на npm и PyPI, которые нацелены на криптовалютные кошельки. Эти пакеты крадут конфиденциальные учетные данные пользователей, такие как мнемонические начальные фразы и приватные ключи. В данной статье мы рассмотрим механизм работы этих пакетов и важные рекомендации по безопасности.

Механизм работы вредоносных пакетов

Хакеры используют различные методы для скрытия своих действий, в том числе:

  • Использование Google Analytics: Пакеты отправляют запросы HTTPS POST на конечные точки сбора данных, что позволяет им маскировать действия под законную телеметрию.
  • Шифрование данных: Учетные данные пользователя кодируются в Base64 перед отправкой злоумышленнику.
  • Скрытые Telegram-боты: Мнемонические начальные фразы жертв отправляются на жестко запрограммированные Telegram-боты.

Опасные пакеты

Были определены три ключевых пакета, представляющих наибольшую опасность:

`react-native-scrollpageviewtest`

Этот пакет, представляющий собой утилиту для прокрутки страниц, был загружен 1215 раз. Он динамически загружает движок кошелька React Native для извлечения и кодирования учетных данных пользователя в Base64. Хакер, стоящий за этим пакетом, известен под псевдонимом twoplus и использует различные методы уклонения от обнаружения.

`web3x`

Рекламируемый как утилита для кошелька Ethereum, пакет `web3x` был скачан более 3400 раз и служит инструментом для сбора учетных данных. Он немедленно отправляет мнемоническую начальную фразу жертвы жестко запрограммированному Telegram-боту, позволяя злоумышленнику быстро получить контроль над активами. Разработчик, использующий псевдоним tonymevbots, создал вредоносную программу для работы на любой платформе с установленным Python.

`herewalletbot`

Этот пакет маскируется под инструмент автоматизации кошелька и проводит жертв через схему социальной инженерии. Он предлагает пользователям ввести свою мнемоническую исходную фразу, создавая иллюзию законности. Хакер с псевдонимом vannszs заблокировал логи и звуковые уведомления, чтобы предотвратить обнаружение.

Рекомендации для пользователей

В свете этих тревожных выводов, как разработчикам, так и пользователям рекомендуется следовать следующим рекомендациям:

  • Не делитесь своими мнемоническими фразами или секретными ключами.
  • Осторожно проверяйте любые пакеты и инструменты, запрашивающие такую информацию.
  • Следите за обновлениями в области кибербезопасности и будьте осведомлены о новых угрозах.

Соблюдение этих простых правил поможет защитить ваши активы от киберугроз и обеспечит большую безопасность в мире криптовалют.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: