Тайна взлома экс-главы Ripple, кража Ethereum в библиотеке и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

• ZachXBT связал изъятие криптовалют на $23,6 млн со взломом кошелька сооснователя Ripple.
• В библиотеке PyPI нашли ворующее Ethereum ПО.
• Сайты с фейковым DeepSeek распространили стилеры и бэкдоры.
• Telegram Stars и NFT стали причинами кражи аккаунтов.

ZachXBT связал изъятие криптовалют на $23,6 млн со взломом кошелька сооснователя Ripple

Власти США изъяли $23,6 млн в криптовалютах, украденных вследствие взлома онлайн-менеджера паролей в 2022 году. Согласно судебным документам, с июня 2024 по февраль 2025 года правоохранители отследили похищенные активы на биржах OKX, Payward Interactive, Inc. (под управлением Kraken), WhiteBIT, AscendEX Technology SRL, Ftrader Ltd (под управлением FixedFloat), SwapSpace LLC и Rabbit Finance LLC (под управлением CoinRabbit).

Хотя следователи не назвали конкретный онлайн-менеджер паролей, в жалобе говорится, что платформа подверглась «двум крупным утечкам данных» в августе и ноябре 2022 года. Эта временная шкала совпадает с инцидентами сервиса LastPass.

Ончейн-детектив ZachXBT написал, что изъятие связано с кражей $150 млн (283 млн XRP) у сооснователя Ripple Криса Ларсена в январе 2024 года.

«Причиной взлома кошелька Ларсена стало хранение закрытых ключей в LastPass. До этого момента он публично не раскрывал причину кражи», — отметил исследователь.

В свою очередь представители LastPass в комментарии Bleeping Computer заявили, что на данный момент правоохранители «не предоставили никаких убедительных доказательств, связывающих какие-либо кражи криптовалют с нашим инцидентом».

Хакеры украли еще $5,4 млн у жертв взлома LastPass

В библиотеке PyPI нашли ворующее Ethereum ПО

Исследователи Socket обнаружили вредоносный пакет Python Package Index (PyPI) «set-utils», ворующий закрытые ключи Ethereum. С января 2025 года его загрузили более 1000 раз, но количество потенциальных жертв может быть значительно выше. 

The Socket Research team has discovered a malicious PyPI package stealing Ethereum private keys by exfiltrating them through blockchain transactions via the Polygon RPC. https://t.co/0VMfXHcXpT #Python #Ethereum

— Socket (@SocketSecurity) March 5, 2025

Пакет маскируется под утилиту для Python, имитируя популярные «python-utils» с 712 млн загрузок и «utils» с 23,5 млн установок. Атаки нацелены на блокчейн-разработчиков, использующих библиотеку «eth-account» для управления кошельками, DeFi-проекты на основе Python и Web3-приложения с поддержкой Ethereum.

Злоумышленники подключаются к стандартным функциям создания Ethereum-кошелька, чтобы перехватывать закрытые ключи по мере их генерации на взломанном устройстве. Средства выводятся через блокчейн Polygon.

На момент написания вредоносный пакет удален из PyPI. Пользователям, загрузившим его в свои проекты, рекомендуют принять меры и переместить активы на безопасный адрес.

Сайты с фейковым DeepSeek распространили стилеры и бэкдоры

Специалисты «Лаборатории Касперского» обнаружили несколько групп фишинговых страниц, копирующих официальный сайт чат-бота DeepSeek.

Зловред вместо DeepSeek Релиз языковой модели DeepSeek R1 стал важным событием… для киберпреступников. В сжатые сроки они организовали несколько кампаний, цель которых — заразить как можно больше компьютеров стилерами и бэкдорами, замаскировавшись под популярный новый ИИ.‍… pic.twitter.com/MqQg4rV2dc

— Kaspersky (@Kaspersky_ru) March 6, 2025

В рамках первой кампании фейковые ресурсы распространяли Python-стилер через установку несуществующего в реальности клиента DeepSeek для Windows. Вредонос ворует cookie и сессии из браузеров, логины и пароли от учетных записей различных сервисов, файлы с заданными расширениями, а также информацию о криптокошельках.

Скриншот поддельного сайта. Данные: «Лаборатория Касперского».

Во второй схеме основным вектором распространения ссылок на мошеннические сайты стала соцсеть X. Один из твитов злоумышленников от имени австралийской компании набрал 1,2 млн просмотров и более сотни репостов.

Данные: «Лаборатория Касперского».

Третья кампания нацелена на технически продвинутых пользователей. Загружаемая вредоносная нагрузка маскируется под фреймворк Ollama для запуска больших языковых моделей на локальных мощностях. В финале она устанавливает на устройство жертвы модифицированный бэкдор Farfli.

Британия проверит TikTok и Reddit на предмет обработки данных детей

Управление Комиссара по информации Великобритании (ICO) начало расследования в отношении TikTok, Imgur и Reddit касательно соблюдения конфиденциальности несовершеннолетних пользователей. 

На данном этапе ведомство выясняет, были ли допущены какие-либо нарушения законодательства о защите данных, а также какую информацию сервисы используют для оценки возраста пользователей.

В случае обнаружения достаточных доказательств нарушений закона ICO намерено получить разъяснения от компаний, прежде чем принимать окончательное решение о мерах воздействия на них.

Telegram Stars и NFT стали причинами кражи аккаунтов 

Аналитики компании F6 зафиксировали рост числа краж учетных записей в мессенджере Telegram. За вторую половину 2024 года только одна группа злоумышленников похитила свыше 1,24 млн аккаунтов, что больше на 25,5% по сравнению с аналогичным периодом 2023 года.

Среди целей злоумышленников — цифровая валюта Telegram Stars и коллекционные виртуальные подарки, включая NFT. Как правило, их выводят на подставные учетные записи и продают. 

Средняя стоимость самих аккаунтов, зарегистрированных на российские номера, составляет около 160 рублей. Сумма варьируется от наличия премиум-подписки, административных прав в каналах и количества диалогов.

Для создания фишинговых ресурсов злоумышленники используют веб-панели или Telegram-боты. Пользователей заманивают на денежные призы, предупреждения от службы безопасности, подарочные премиум-подписки, голосования или доступы в приватные каналы.

Нередко в рамках комбо-схемы похищенный аккаунт автоматически начинает распространять мошеннические ссылки. Они ведут на фишинговые страницы якобы для составления резюме. Для его «отправки работодателю» требуется авторизоваться через Telegram.

Пользователей Apple из 117 стран уведомили об атаках шпионского ПО

Компания Apple уведомила пользователей из 117 стран о том, что они подверглись целевым атакам с использованием мобильных шпионских программ. Об этом сообщили эксперты Amnesty International.

NEW: Apple threat notifications Apple have just sent a new round of notifications to individuals targeted by highly-invasive mobile spyware.Reach out to our team at @Amnesty's Security Lab or trusted experts if you received this critical warning.https://t.co/h0jQRXcziE

— Amnesty Tech (@AmnestyTech) March 5, 2025

Традиционно в подобных рассылках не раскрываются личности злоумышленников и конкретные затронутые страны.

В 2024 году Apple дважды отправляла подобные уведомления.

Также на ForkLog:

• Garantex приостановила работу из-за блокировки USDT. Минюст США опубликовал отчет о расследовании. Эксперт объяснил последствия.
• Уязвимость в устаревшем смарт-контракте 1inch привела к потере $5 млн. Хакер возместил активы.
• В России назвали криптовалюты «инструментом обхода санкций».
• Прокуратура Аргентины приняла меры по заморозке $100 млн, связанных с LIBRA.
• Кошельки даркнет-маркетплейса Nemesis попали под санкции США.
• Bybit призвала ParaSwap вернуть прибыль от транзакций Lazarus.
• Onlyfans-модель стала жертвой вооруженного нападения из-за криптовалюты.
• CEO Bybit: 20% украденных активов «ушли в тень».
• Объем свопов THORChain превысил $4,6 млрд после взлома Bybit.
• Скамеры выманили у британцев сид-фразы и украли криптовалюту на $1,2 млн.
• Суд отклонил иск SEC против основателя HEX.
• В США отключили более 1200 биткоин-ATM за три дня.
• Роналдиньо запустил токен STAR10. Исследователи смарт-контрактов предупредили о рисках.
• Жертвам криптоаферы в США вернут $8,2 млн.

Что почитать на выходных?

Разбираемся в негативном влиянии мем-коинов на криптоиндустрию. 

Путь мем-токенов от шутки до скама