Крипто әлеміндегі жаңалықтар

18.10.2025
04:05

Изъятие $15 млрд в биткоине у лидера камбоджийской группировки, криптобанда из Хмельницка и другие события кибербезопасности

security_new1

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

  • Хакеры адаптировали вредонос под блокчейн.
  • Global Ledger: отчет по взломам кроссчейн-мостов.
  • Правоохранители обезвредили хмельницкую криптобанду.
  • США конфисковали биткоин на $15 млрд у лидера камбоджийской группировки.

Хакеры адаптировали вредонос под блокчейн

По сообщению Google Threat Intelligence Group (GTIG) от 17 октября, хакеры начали использовать технику EtherHiding, которая позволяет размещать и доставлять вредоносное ПО через смарт-контракты. Такой метод применяется для кражи криптовалют в процессе атак с элементами социальной инженерии.

По данным аналитиков, за этой активностью стоит северокорейская группа, известная как UNC5342, которая с февраля использует EtherHiding в рамках операций под названием Contagious Interview.

EtherHiding — это способ распространения вредоносных программ, при котором данные встраиваются в смарт-контракты, размещенные в публичных блокчейнах вроде Ethereum.


Благодаря особенностям блокчейна, EtherHiding обеспечивает:

  • анонимность исполнителей;
  • устойчивость к блокировкам и удалению;
  • возможность гибкого обновления вредоносного кода при низких затратах;
  • высокую скрытность, не оставляя следов в истории транзакций.

Смарт-контракт содержит загрузчик JADESNOW, который взаимодействует с Ethereum и запускает второй этап атаки — JavaScript-вредонос InvisibleFerret, обычно применяемый для долгосрочного шпионажа.

image
Процесс EtherHiding в блокчейнах BNB Smart Chain и Ethereum. Источник: Google Threat Intelligence Group.

Атаки обычно начинаются с ложных собеседований в фиктивных компаниях — типичной тактики северокорейских хакеров. Жертву убеждают выполнить код якобы в рамках технического теста, на деле процесс активирует мошеннический JavaScript.

После установки вредонос:

  • работает в фоновом режиме;
  • ожидает команд от удаленного сервера;
  • может выполнять произвольные команды и отправлять украденные файлы в формате ZIP на внешний сервер или в Telegram.

GTIG отмечает, что ПО работает в памяти и может запрашивать из Ethereum дополнительный модуль, предназначенный для кражи учетных данных.

По данным исследователей, за первые четыре месяца контракт обновлялся более 20 раз, при этом каждый апгрейд стоил в среднем всего $1,37 в виде комиссий.

Вредоносный компонент нацелен на пароли, информацию о банковских картах и криптокошельках вроде MetaMask и Phantom, а также данные браузеров.

Global Ledger: отчет по взломам кроссчейн-мостов

В октябре аналитики швейцарской Global Ledger предоставили отчет о подтвержденных взломах кроссчейн-мостов с 2021 года по III квартал 2025 года. По их данным, за этот период проведено 34 хакерские атаки, ущерб от которых составил ~$2,9 млрд.

image
Источник: Global Ledger.

В 85% случаев средства выведены до того, как инцидент был публично раскрыт. Первые переводы происходили в среднем в течение 2 часов 15 минут, в то время как публичное сообщение об инциденте запаздывало примерно на 22 часа.

Специалисты отмечают, что в 91% инцидентов движение средств происходило в течение первых 24 часов, а в одном случае полный цикл отмывания — от начала атаки до конечной точки — занял всего 33,5 минуты.

Согласно отчету, был установлен рекорд скорости перевода похищенных средств после взлома кроссчейн-моста: он составил 1 минуту 13 секунд.

image
Источник: Global Ledger.

Аналитики подчеркнули сильную зависимость от миксера Tornado Cash, который был задействован в 96% случаев, связанных с перемешиванием транзакций.

Крупнейшую долю из украденных активов хакеры отмыли через DeFi-платформы. На них пришлось ~$1,48 млрд. Около $959 млн злоумышленники перенаправили через миксеры и другие ориентированные на анонимность сервисы, $490 млн — через кроссчейн-мосты.

image
Источник: Global Ledger.

Среди похищенных средств некоторые были возвращены, другие — навсегда потеряны:

  • ~$619 млн хакеры вернули;
  • ~$401 млн заморозили или сожгли;
  • более $334 млн остаются неизрасходованными на момент написания отчета и находятся в кошельках, связанных с атакующими.

«Учитывая уровень возмещения, составляющий ~1,5%, и разделение потоков средств по множеству конечных точек, традиционные стратегии реагирования после инцидентов оказались неэффективными», — говорится в отчете.

https://forklog.com/exclusive/mosty-pora-szhech

Правоохранители обезвредили хмельницкую криптобанду

15 октября киберполиция Хмельницкой области сообщила о разоблачении группы лиц, подозреваемых в незаконном завладении цифровыми активами граждан Украины, стран Европы и Ближнего Востока.

По данным правоохранителей, злоумышленники создали криптовалюту и привлекали инвесторов через тематические сообщества в Telegram. Предполагаемые мошенники демонстрировали роскошный образ жизни и «прибыльные торговые сделки», побуждая жертв к инвестициям.

image
Источник: Киберполиция Украины.

После того как граждане вкладывали деньги в криптовалюту, ее создатели блокировали доступ к управлению приобретенными активами.

Подозреваемые отмывали средства через специализированные анонимные сервисы и конвертировали их в наличные.

image
Источник: Киберполиция Украины.

Правоохранители установили имена пятерых граждан Украины, пострадавших от действий мошенников. В процессе обысков Хмельницком и Киеве были изъяты техника, аппаратные криптокошельки, черновые записи, подтверждающие преступную деятельность, а также элитные автомобили.

Задержанным грозит до восьми лет лишения свободы. Расследование продолжается.

США конфисковали биткоин на $15 млрд у лидера камбоджийской группировки

Согласно пресс-релизу от 14 октября, Минюст США изъял 127 271 BTC на сумму ~$15 млрд у главы Prince Group — Чэнь Чжи. Преступная организация похитила миллиарды долларов у жертв по всему миру с помощью поддельных инвестиций в криптовалюты, известных как «мошенничество на доверии».

Обычно преступники, стоящие за подобными схемами, устанавливают контакт с жертвами через социальные сети и сайты знакомств, завоевывают доверие, а затем убеждают вложить деньги в фиктивные инвестиционные проекты. Вместо того, чтобы инвестировать средства, мошенники переводят их на собственные счета.

Согласно обнародованным судебным документам, камбоджийская группировка Prince Group с 2015 года  управляет более чем 100 подставными и холдинговыми компаниями в 30 странах. Организация заставляла тысячи людей участвовать в мошеннических схемах и успешно уклонялась от правоохранительных органов.

Преступники также управляли автоматизированными колл-центрами, использовавшими миллионы телефонных номеров.

«Prince Group реализовывала свои схемы, занимаясь торговлей людьми и заставляя сотни работников выполнять мошеннические операции в лагерях на территории Камбоджи, зачастую под угрозой насилия», — говорится в пресс-релизе.

Такие комплексы включали огромные общежития, окруженные высокими стенами и колючей проволокой, и фактически функционировали как лагеря принудительного труда.

Глава группировки Чэнь Чжи, также известный как Винсент, до сих пор находится на свободе. Он лично участвовал в подкупе чиновников, чтобы избежать вмешательства правоохранителей, управлял лагерями и применял насилие против находившихся там людей.

Часть похищенных средств преступники тратили на роскошные путешествия, элитные покупки и дорогостоящее имущество — яхты, частные самолеты, виллы, а также картину Пикассо, приобретенную на аукционе в Нью-Йорке.

Расширения для разработчиков становятся опаснее 

Киберпреступник под ником TigerJack постоянно атакует разработчиков, публикуя вредоносные расширения на маркетплейсе Microsoft Visual Code (VSCode) и в реестре OpenVSX, чтобы красть цифровые активы и устанавливать бэкдоры. Об этом сообщили исследователи из Koi Security.

Два расширения, удаленные из VSCode после того, как их скачали 17 000 раз, до сих пор доступны в OpenVSX. Более того, TigerJack повторно публикует тот же вредоносный код под новыми именами на маркетплейсе VSCode.

Два расширения, удаленные с VSCode — C++ Playground и HTTP Format — были повторно представлены на платформе через новые аккаунты.

При запуске C++ Playground регистрирует слушатель для файлов C++, чтобы эксфильтровать исходный код на несколько внешних конечных точек. Слушатель срабатывает примерно через 500 миллисекунд после редактирования, чтобы захватывать нажатия клавиш почти в реальном времени.

По данным Koi Security, HTTP Format работает как заявлено, но тайно запускает в фоновом режиме майнер CoinIMP, используя жестко закодированные учетные данные и конфигурацию для майнинга криптовалюты. Майнер, похоже, не реализует никаких ограничений на использование ресурсов, задействуя всю вычислительную мощность для своей деятельности.

Другая категория вредоносных расширений от TigerJack извлекает код JavaScript с жестко закодированного адреса и выполняет его на хосте. Удаленный адрес опрашивается каждые 20 минут, что позволяет выполнять произвольный код без необходимости обновления самого расширения.

Исследователи комментируют, что, в отличие от стилера исходного кода и криптомайнера, этот третий тип гораздо более угрожающий, поскольку он обладает расширенной функциональностью:

«TigerJack может динамически внедрять любую вредоносную нагрузку без обновления расширения — красть учетные данные и ключи API, развертывать программы-вымогатели, использовать скомпрометированные машины разработчиков как точки входа в корпоративные сети, внедрять бэкдоры в ваши проекты или отслеживать вашу активность в реальном времени».

На момент написания отчета администраторы OpenVSX не связались с Koi Security. Два расширения остаются доступными для скачивания.

Также на ForkLog:

  • Кошелек взломанного пула LuBian перевел 9757 BTC после трех лет «спячки».
  • Спутниковая связь оказалась без шифрования — ученые перехватили военные данные.

Что почитать на выходных?

«Авторское лево» — способ сохранить свободу ПО в эпоху тотальной коммерциализации. О его создателе Ричарде Столлмане читайте в новом материале ForkLog.

https://forklog.com/exclusive/kremnievye-tanki-richard-stollman-otets-kopilefta