Зиянкестер 500 мың долларлық криптовалютаны ұрлау үшін вирус жұқтырған ашық бастапқы пакетті пайдаланған
«Касперский Зертханасы» компаниясына блокчейн әзірлеушісі жүгінді. Оның айтуынша, киберқылмыскерлер шамамен 500 мың АҚШ долларына тең криптовалютаны ұрлаған. Kaspersky GReAT ("Касперский зертханасы" ғаламдық қауіп-қатерді зерттеу және талдау орталығы) сарапшылары зерттеу жүргізіп, пайдаланушының ПК-сына ашық бастапқы кодтағы зақымданған пакетті орнатқаны анықталды. Бұл пакет Cursor AI атты жасанды интеллект қолдайтын әзірлеу ортасының кеңейтімі болып көрінген. Жалған кеңейтім құрылғыға Quasar бэкдорын және стилерді жүктеп алған. Қаскүнемдер осы зиянды бағдарламаларды криптоактивтерді ұрлау үшін қолданған.
Зиянды пакет Cursor AI ортасында қолданылатын OpenVSX репозиторийінде орналастырылған нақты кеңейтім үшін жалған болып шықты. Бұл пакет ақылды келісімшартты бағдарламалау тілі — Solidity кодын оңтайландыруға көмектесуі керек еді. Шындығында, олтек вирус жұққан құрылғыда зиянды кодты жүктеп, іскеқосқан.
Тұзақ қалай жұмыс істейді. Репозиторийдегі іздеу нәтижелерінде крипто иесі бірінші рет сенімді кеңейтуді басқан. Шабуылдаушылар оған 54 мың жүктеуді жасанды түрде жүктеді.
Solidity іздеу сұранысы бойынша беру нәтижелері: зиянды кеңейтім қызыл, заңды — жасыл болып бөлінеді
Әрі қарай не болды. Жалған кеңейтімді орнатқаннан кейін жәбірленуші қажетті атқарымдарды ала алмады. Оның орнына зиянды ScreenConnect құрастыруы компьютерге еніп кетті. Оны пайдаланып, шабуылдаушылар құрылғыға қашықтан қол жеткізді. Содан кейін олар құрылғыны Quasar артқы есігімен жәнебраузерлерден, электрондық пошта клиенттерінен және крипто әмияндарынан деректерді жинайтын стилермен жұқтырды. Осылайша, шабуылдаушылар крипто әмияндарына қол жеткізіп, олардан криптовалюта шығарды.
Зиянды пакет репозиторийден жойылды. Алайда, зиянкестер оны қайта жариялап, қондырғылардың санын жасанды түрде 2 миллионға дейін көтерді, ал заңды пакет қондырғыларының саны осы уақыт ішінде 61 мың болды. "Касперский зертханасы" платформаны жасаушыларға репозиторийден тез арада жойылған жаңа жалғандықтуралы хабарлады.
"Бұзылған opensource пакеттерін ажырату қиындайтүсуде. Зиянкестер ақылды тактиканы қолданады. Тіптіықтимал киберқауіпсіздік тәуекелдерін жақсы білетін озық пайдаланушылар, әсіресе блокчейнді дамыту саласында жұмыс істейтіндер тұзаққа түседі. Біз крипто иелеріне шабуылдар жалғасады деп күтеміз, сондықтан құпия деректердің қауіпсіздігін қамтамасыз ету және қаржылық шығындардың алдын алу үшін арнайы шешімдерді елемеуге кеңес береміз", — деп түсіндіреді Kaspersky GReAT сарапшысы Георгий Кучерин.
Шабуылдың артында тұрған зиянкестер тек Solidity зиянды кеңейтімдерін ғана емес, сонымен қатарScreenConnect зиянды құрастыруын жүктейтін NPM пакетін де жариялады. Бірнеше ай бұрын олар қазіргі уақытта репозиторийден жойылған Visual Studio code әзірлеу ортасына арналған үш қосымша зиянды кеңейтімді жариялады.
"Касперский Зертханасының" шешімдері анықталған шабуылда қолданылған зиянды бағдарламалардан қорғайды.
Мұндай кибершабуылдардан қорғау үшін "Касперский зертханасы" пайдаланушылар мен компанияларға кеңесбереді:
● ашық бастапқы компоненттерді бақылау үшін арнайышешімді қолданыңыз;
● пакет жасаушының сенімділігін тексеру, нұсқалардыңдәйекті тарихына, құжаттамаға және белсенді проблемаларды бақылаушыға назар аудару;
● киберқауіптер ландшафтын қадағалаңыз: опенсорлықпакеттерді әзірлеушілердің бюллетеньдерінежазылыңыз;
● жеке және корпоративтік құрылғыларды қорғауғаарналған құрал тиімділігі тәуелсіз сынақтарменрасталатын сенімді қорғаныс шешімдерін қолданыңыз.