Арест работорговца в Индии, Solana как тайник для стилера и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Более 700 браузерных криптокошельков оказались под прицелом инфостилера.

Великобритания ввела санкции против Xinbi и скам-лагерей в Юго-Восточной Азии.

Вредонос использовал Solana для кражи криптоданных и фишинга.

Кибератака на производителя алкоблокираторов ограничила доступ к автомобилям.

Более 700 браузерных криптокошельков оказались под прицелом инфостилера

Новый инфостилер Torg Grabber нацелен на конфиденциальную информацию 850 браузерных расширений. Среди них криптовалютные кошельки, менеджеры паролей, приложения для заметок и двухфакторной аутентификации, сообщают исследователи кибербезопасности Gen Digital.

Первоначальный доступ к системе осуществляется с помощью техники ClickFix: злоумышленники перехватывают буфер обмена и обманом заставляют пользователя выполнить вредоносную команду PowerShell.

В список уязвимых расширений попали 728 криптокошельков вроде MetaMask, Phantom и TrustWallet.

Источник: Gen Digital.

Torg Grabber также собирает данные из Discord, Telegram, Steam, инструментов VPN, почтовых сервисов и десктопных версий криптоприложений.

Кроме перечисленных возможностей, вредоносное ПО способно:

создавать цифровой отпечаток оборудования;

анализировать установленное ПО (включая 24 антивируса);

делать скриншоты рабочего стола;

красть файлы из папок «Рабочий стол» и «Документы»;

выполнять произвольный код на зараженном устройстве.

С конца 2025 года мошенники используют более эффективное HTTPS-соединение через инфраструктуру Cloudflare. Они научили стилер взламывать защиту куки-файлов в Chrome, Brave, Edge, Vivaldi и Opera.

По данным специалистов, с декабря 2025 по февраль 2026 года скомпилировано 334 образца, а новые командные серверы регистрируются каждую неделю.

Великобритания ввела санкции против Xinbi и скам-лагерей в Юго-Восточной Азии

26 марта правительство Великобритании ввело санкции против криптовалютного маркетплейса Xinbi и лиц, связанных со скам-лагерями в Юго-Восточной Азии. 

Власти заявили, что площадка способствует продаже украденных персональных данных и предоставляет инструменты для поиска жертв, включая оборудование для спутникового интернета. Принятые меры ограничивают доступ сети к финансовым каналам.

Санкции также затронули компанию Legend Innovation, оператора #8Park — крупного мошеннического лагеря в Камбодже. По предварительным оценкам, там содержатся до 20 000 подневольных работников. Под ограничения попали директор фирмы Эанг Соклим и лица, связанные с финансовой сетью Prince Group.

По данным Chainalysis, в период с 2021 по 2025 год через Xinbi прошли транзакции на сумму более $19,9 млрд.

В Индии правоохранители арестовали Сунила Неллата Рамакришнана, также известного как Криш, по подозрению в переправке граждан в мошеннические криптоцентры в Мьянме. 

Согласно властям, он был ключевой фигурой в процессе транспортировки жертв из Дели в Бангкок под предлогом легального трудоустройства в Таиланде. Людей принудительно перевозили в район Мьявадди, в частности в комплекс KK Park.

Обыски в резиденции подозреваемого связали его с операциями по торговле людьми в Камбодже.

Вредонос использовал Solana для кражи криптоданных и фишинга 

Исследователи кибербезопасности Aikido зафиксировали новый этап кампании GlassWorm. Хакеры рассылают фишинговые наборы кода, которые крадут данные разработчиков и устанавливают троян удаленного доступа.

GlassWorm получает доступ через вредоносные пакеты, публикуемые в репозиториях программистов npm, PyPI, GitHub и на маркетплейсе Open VSX. 

Операторы также взламывают аккаунты мейнтейнеров популярных проектов для внедрения отравленных обновлений.

Вместо того, чтобы «зашивать» адрес управляющего сервера напрямую в код вируса (где его легко найти и заблокировать), хакеры использовали метод тайника или «мертвого дропа» и спрятали его в блокчейне Solana.

Программа-загрузчик подключается к сети и проверяет заранее заданные криптокошельки, ища транзакции со специальным текстовым примечанием — memo. Как только загрузчик его находит, он извлекает замаскированную ссылку, дешифрует и подключается к удаленному серверу. Вредонос не заражает системы с русской локализацией.

Дешифровка поля memo в блокчейне Solana в ссылку удаленного сервера хакеров. Источник: Aikido.

Второй этап атаки включает:

кражу и сбор данных, эксфильтрацию криптокошельков и профилирование системы;

передачу. Собранные данные сжимаются в ZIP-архив и отправляются на внешний сервер;

догрузку. После передачи данных цепочка атак подтягивает еще два компонента.

Первый — это файл для обнаружения USB-устройств. Когда пользователь подключает аппаратный кошелек, появляется фишинговое окно:

для Ledger — отображается фейковая ошибка конфигурации с 24 полями для ввода фразы восстановления;

для Trezor — сообщение о «сбое проверки прошивки» и принудительной экстренной перезагрузке с аналогичными полями ввода.

Второй компонент — JavaScript RAT. Адрес для его загрузки извлекается через описание события в Google Calendar (еще один вариант «мертвого дропа»).

В его задачи входит запуск модуля скрытого удаленного рабочего стола, кража данных из браузеров и выполнение произвольного JavaScript-кода.

Кроме того, троян принудительно устанавливает расширение Google Docs Offline. Оно собирает дерево активных вкладок, историю до 5000 записей, скриншоты и содержимое буфера обмена. Расширение также ведет наблюдение за криптобиржами, например Bybit, отслеживая токены авторизации и ID устройств.

Кибератака на производителя алкоблокираторов ограничила доступ к автомобилям 

Хакеры атаковали компанию Intoxalock — поставщика систем блокировки зажигания автомобилей в США. Из-за нарушения работы устройств часть владельцев не могли завести машины, сообщает издание «Хакер».

Intoxalock производит устройства, которые обязаны устанавливать пользователи, осужденные за вождение в нетрезвом виде. Для запуска двигателя нужно подуть в трубку для проверки допустимого уровня алкоголя в крови. В случае превышения нормы автомобиль не заведется. В некоторых штатах система дополнительно фиксирует GPS-координаты и системно фотографирует управляющего транспортом.

Источник: Intoxalock.

По данным СМИ, устройство подлежит обязательной калибровке примерно раз в месяц. Но из-за кибератаки поверка оказалась невозможна и водители с истекшим сроком проверки оказались заблокированы. Только в Коннектикуте проблема затронула 7–10% пользователей.

Компания продлила действие авторизации в сервисных центрах на 10 дней, однако отсрочка работала не для всех версий устройств и не во всех штатах. 

22 марта систему восстановили. Руководство Intoxalock пообещало компенсировать расходы пользователей, включая эвакуацию авто.

Исследователь обнаружил троян в ИИ-приложении LiteLLM

В популярном ИИ-приложении LiteLLM обнаружили вредоносное ПО для кражи учетных данных. Об этом сообщил исследователь Каллум Макмахон из FutureSearch.

LiteLLM позволяет разработчикам подключаться к сотням различных нейросетей и управлять оплатой подписок. У проекта более 40 000 звезд на GitHub, тысячи форков, а количество скачиваний достигает 3,4 млн в день.

По словам Макмахона, вирус проникает в систему через сторонний программный пакет, на который опирается LiteLLM. Исследователь заподозрил заражение компьютера, когда он внезапно выключился сразу после загрузки софта. Ошибка в самом вредоносе привела к сбою системы, что выдало присутствие хакерского ПО.

Макмахон и известный разработчик Андрей Карпатый пришли к общему выводу: вирус создан с помощью вайб-кодинга без внимательной проверки.

Как действовал вредонос:

крал все возможные учетные данные;

использовал их для доступа к другим аккаунтам и пакетам, чтобы собрать еще больше паролей;

распространялся по цепочке, захватывая все новые системы.

В TechCrunch отметили, что на сайте LiteLLM присутствуют бейджи прохождения крупнейших сертификаций безопасности SOC2 и ISO 27001, выданные после аудита Delve. Она позиционирует себя как сервис на базе ИИ, автоматизирующий проверки кибербезопасности.

По информации СМИ, ранее Delve обвиняли в генерации фейковых данных для отчетов, использовании сомнительных аудиторов и введении клиентов в заблуждение относительно их защищенности.

Разработчикам LiteLLM удалось устранить угрозу спустя несколько часов после появления зараженной версии. Компания начала расследование совместно с Mandiant.

Также на ForkLog:

Сооснователь Fenbushi Capital предложил награду за возврат украденных $42 млн.

ZachXBT обвинил Circle в ошибочной заморозке 16 кошельков.

Власти Ирландии получили доступ к биткоинам на €30 млн.

Хакерская атака на Resolv обрушила стейблкоин USR.

Google выявила цепочку эксплойтов DarkSword для взлома iPhone.

Что почитать на выходных?

В новом материале ForkLog рассказываем, как власти РФ планируют следить за каждой криптосделкой внутри страны и почему ключи от биткоин-кошельков придется делить с цифровым депозитарием.

Источник