Киберугрозы нарастает: взломы dYdX, опасные ИИ-расширения для Chrome и другие недавние инциденты в области безопасности

Мы подготовили сводку самых актуальных событий в области кибербезопасности за прошедшую неделю.

Киберпреступники получили доступ к аккаунтам разработчиков децентрализованной биржи dYdX, внедрив вирус в официальные пакеты (npm и PyPI). Специалисты компании Socket выявили этот инцидент.

Эти пакеты используются программистами для работы с протоколами биржи, включая создание кошельков и проведение сделок. Учитывая, что через dYdX проходят миллиарды долларов, риск оказался чрезвычайно высоким.

Злоумышленники нацелились на сид-фразы криптокошельков. Как только разработчик начинал работать с зараженной библиотекой, вирус копировал ключи доступа и отправлял их на сервер враждебной группы. Для маскировки они использовали адреса, визуально похожие на официальные домены биржи.

Разработчики, работающие с Python, столкнулись с ещё большей угрозой: в их систему внедрялся троян для удаленного доступа. Вирус работал в фоновом режиме каждые 10 секунд, предоставляя хакерам возможность исполнять любой код на компьютере жертвы. Это позволяло не только красть криптовалюту, но и пароли, личные файлы, а также отслеживать действия пользователя.

Эксперты Socket указали на то, что злоумышленники имели глубокое понимание внутренней структуры системы. Вредоносный код был скрыт в законных файлах, которые автоматически запускались.

После уведомления от специалистов биржа подтвердила взлом и призвала всех, кто скачивал обновления в январе 2026 года, немедленно изолировать свои компьютеры и перевести средства на новые безопасные кошельки.

Северокорейские хакеры начали персонализированные атаки, используя ИИ-сгенерированные видео для распространения вредоносного ПО среди криптоинвесторов. Об этом сообщили эксперты Mandiant.

Злоумышленники настроили свои действия на получение финансовой выгоды, что подтверждается инструментами, использованными в атаке на неизвестную финтех-компанию. По информации Mandiant, исследователи нашли семь различных семейств вредоносного ПО для macOS и связали их с группировкой UNC1069, над которой ведётся наблюдение с 2018 года.

Жертва была связана через Telegram с взломанного аккаунта руководителя криптовалютной компании. Установив доверительные отношения, хакеры отправили ссылку на Calendly, которая вела на фальшивую страницу конференции Zoom, размещенную на сервере злоумышленников.

По информации пострадавшего, хакеры продемонстрировали дипфейк видео генерального директора компании. Во время видеозвонка злоумышленник симулировал проблемы со звуком и под предлогом инструкций заставлял жертву выполнять команды, запускавшие цепочку заражения для Windows и macOS.

Затем злоумышленники поэтапно внедряли семь различных семейств вредоносного ПО.

В Mandiant отметили, что семейства SILENCELIFT, DEEPBREATH и CHROMEPUSH представляют собой совершенно новые инструменты группировки. Такие масштабы внедрения вредоносного ПО на одной платформе против одного человека эксперты назвали “необычным”.

Это свидетельствует о том, что атака была целевое и нацелено на сбор максимальной информации для двух целей: кражи криптовалюты и подготовки будущих атак, включая кражу персональных данных и контактов жертвы.

30 вредоносных ИИ-расширений для Chrome были установлены более 260000 пользователей. Об этом сообщили исследователи платформы безопасности LayerX.

Обнаруженная кампания маскировалась под ИИ-помощников с целью кражи учетных данных, содержимого электронных писем и информации о посещенных страницах.

Все проанализированные расширения оказались частью одной мошеннической схемы, связывающей их с единым доменом.

По данным экспертов, наиболее популярным расширением в данной кампании было Gemini AI Sidebar (80 000 пользователей), которое уже удалено из магазина. Однако издание BleepingComputer сообщило, что другие расширения с тысячами установок все еще остаются в репозитории Google.

Все 30 расширений имеют одинаковую внутреннюю структуру, логику JavaScript и запросы разрешений. В них отсутствуют ИИ-функции, вместо этого контент загружается с удаленного сервера.

Опасность заключается в том, что разработчики могут изменять функционал расширений на стороне сервера без обновлений, что позволяет избежать повторной проверки от Google.

В фоновом режиме эти расширения собирали информацию о посещаемых страницах, включая конфиденциальные страницы авторизации:

BleepingComputer обратился в Google за комментариями, но до публикации корпорация не ответила. Специалисты рекомендовали ознакомиться со списком индикаторов компрометации от LayerX, незамедлительно удалить подозрительные расширения и сменить пароли.

Два гражданина Коннектикута были обвинены в мошенничестве, связанном с азартными играми и использованием украденных персональных данных. Об этом сообщает Министерство юстиции США.

Согласно обвинительному заключению, с апреля 2021 по 2026 год подозреваемые украли $3 миллиона, используя данные около 3000 жертв.

Мошенники действовали по следующей схеме:

«Я просто просматривал списки номеров социального страхования и использовал обратный поиск по номеру телефона в приложении Scam Shield», — написал обвиняемый Амитой Капур в сообщении своему сообщнику Сиддарту Лиллани.

После нахождения совпадений злоумышленник создавал аккаунт, иногда обходя дополнительную проверку сервиса BeenVerified.

Целью схемы было получение промо-бонусов, которые букмекеры предоставляют при первой ставке или депозите. Если ставка оказывалась удачной, обвиняемые переводили средства на виртуальные предоплаченные карты, а затем на свои личные счета.

Microsoft устранила критическую уязвимость в приложении “Блокнот” для Windows 11, которая позволяла злоумышленникам запускать локальные или удаленные программы. Для этого им нужно было лишь обманом заставить пользователя кликнуть на особую ссылку в формате Markdown, сообщается BleepingComputer.

С выходом Windows 11 Microsoft отказалась от редактора WordPad и полностью переработала “Блокнот”, добавив поддержку Markdown, что предоставило пользователям возможность форматировать текст и вставлять кликабельные ссылки в текстовые файлы (.md).

По сообщением СМИ, уязвимость заключалась в неверной обработке специальных элементов в командах. Злоумышленник мог создать файл Markdown со ссылками на вредоносные сайты, использующие протоколы file:// (путь к исполняемому файлу) или ms-appinstaller:// (для установки программ).

При открытии такого файла в “Блокноте” ранних версий (включая 11.2510) в режиме Markdown текст отображался как ссылка. После нажатия на него с помощью Ctrl+клик, программное обеспечение автоматически запускало указанный файл или протокол. Основная угроза заключалась в том, что код выполнялся в безопасной среде пользователя с теми же правами доступа, без стандартного предупреждения об опасном файле от Windows.

Эксперты в области безопасности установили, что можно было создавать ссылки даже на файлы на удаленных сетевых ресурсах. После выпуска обновления, при попытке кликнуть на любую другую ссылку, “Блокнот” выводит предупреждающее сообщение.