Живучий «черв’як» в екосистемі JavaScript, стеження за клієнтами Gucci та інші події кібербезпеки

##Живучий «черв’як» в екосистемі JavaScript, стеження за клієнтами Gucci та інші події кібербезпеки

Ми зібрали найбільш важливі новини з світу кібербезпеки за тиждень.

• Розробники блокчейн усе частіше стають метою хакерів.
• Канадська поліція вилучила понад $40 млн у криптовалюті.
• Екосистему JavaScript атакує саморозмножувальний «черв'як».
• Атака на автопром може відобразитися на економіці Великобританії.

###Розробники блокчейн все частіше стають мішенню для хакерів

Розробники ПЗ все більше залучають криптоворів. За даними дослідників кібербезпеки Koi Security, група хакерів WhiteCobra атакувала користувачів серед розробок коду VSCode, Cursor та Windsurf. Вони розмістили 24 шкідливі розширення на платформі Visual Studio Marketplace та в реєстрі Open VSX.

Однією з жертв «опустошителів» став ключовий розробник Ethereum Зак Коул.

Я в криптовалюті більше 10 років і ніколи не був зламаний. Ідеальний запис з безпеки.

Вчора мій гаманець вперше був обкрадений шкідливим розширенням @cursor_ai.

Якщо це може статися зі мною, це може статися і з вами. Ось повний аналіз. 🧵👇

— zak.eth (@0xzak) 12 серпня 2025

За його словами, кіберзлочинці вкрали криптовалюту за допомогою плагіна для ІІ-редактора коду Cursor. Коул пояснив, що розширення мало всі ознаки безпечного продукту: професійно розроблений логотип, детальний опис і 54 000 завантажень на OpenVSX — офіційному реєстрі Cursor.

В Koi Security впевнені, що WhiteCobra належить до тієї ж групи, яка в липні вкрала цифрові активи на $500 000 у російського блокчейн-програміста

«Кросс-сумісність та відсутність належної перевірки при публікації на цих платформах роблять їх ідеальними для зловмисників, які прагнуть проводити кампанії з широким охопленням», — йдеться в звіті Koi Security.

Спустошення гаманця починається з виконання основного файлу extension.js, який майже ідентичний стандартному шаблону Hello World, що постачається з кожним шаблоном розширення VSCode. Далі зловмисник розпаковує ПО-стилер залежно від виду ОС.

У фокусі зловмисників з WhiteCobra — тримачі цифрових активів на суму від $10 000 до $500 000. Аналітики вважають, що групування здатне розгорнути нову кампанію менш ніж за три години.

Приклад легітимного та фейкового розширення для розробників. Джерело: Koi Security. Поки що зловмисників складно зупинити: хоча шкідливі плагіни видаляються з OpenVSX, на їхньому місці відразу з'являються нові.

Дослідники рекомендують намагатися використовувати лише відомі проекти з хорошою репутацією та з обережністю ставитися до нових релізів, які зібрали велику кількість завантажень і позитивних відгуків за короткий проміжок часу.

###Канадська поліція вилучила більше $40 млн у криптовалюті

Федеральна поліція Канади провела найбільшу в історії країни конфіскацію криптовалюти. На це звернув увагу ончейн-детектив ZachXBT.

Правоохоронці вилучили з платформи TradeOgre цифрові активи на суму понад 56 млн канадських доларів (~$40,5 млн). Закриття платформи для обміну криптовалют стало першим таким випадком в історії країни.

Розслідування розпочалося в червні 2024 року за підказкою Європолу. Воно показало, що майданчик порушував канадські закони і не пройшов реєстрацію в Центрі аналізу фінансових операцій та звітів як підприємство, що надає послуги з обміну грошей.

У слідчих є підстави вважати, що більша частина коштів, якими проводилися операції на TradeOgre, надходила з кримінальних джерел. Платформа привабила зловмисників відсутністю обов'язкової ідентифікації особи користувача.

Згідно з заявою поліції, дані про транзакції, отримані з TradeOgre, будуть проаналізовані для надання обвинувачень. Розслідування триває.

###Екосистему JavaScript атакує самовідтворювальний «черв'як»

Після атаки на платформу NPM для впровадження в пакети JavaScript шкідливого ПЗ зловмисники перейшли до стратегії розповсюдження повноцінного «черв'яка». Інцидент набирає обертів: на момент написання відомо про більше ніж 500 скомпрометованих NPM-пакетів.

Скоординована кампанія Shai-Hulud розпочалась 15 вересня з компрометації NPM-пакета @ctrl/tinycolor, який щотижня завантажують більше 2 млн раз.

Згідно з аналітиками Truesec, за ці ці дні кампанія значно розширилася і тепер включає пакети, опубліковані в просторі імен CrowdStrike.

За словами експертів, скомпрометовані варіанти містять функцію, яка витягує tar-архів пакета, змінює файл package.json, впроваджує локальний скрипт, перезбирає архів і повторно публікує його. При встановленні автоматично виконується скрипт, який завантажує та запускає TruffleHog — легітимний інструмент для сканування секретів і пошуку токенів.

В Truesec вважають, що атака суттєво масштабується і стає витонченішою. Хоча зловмисники використовують безліч старих прийомів, вони значно удосконалили свій підхід, перетворивши його на повністю автономного «черв'яка». Шкідливе ПЗ виконує наступні дії:

• збирає секрети та публічно їх розкриває на GitHub;
• виконує TruffleHog і опитує кінцеві точки метаданих хмари для вилучення конфіденційних облікових даних;
• намагається впровадити робочий процес GitHub Actions, призначений для ексфільтрації даних через webhook.site;
• перераховує всі доступні репозиторії GitHub для скомпрометованого користувача та примусово робить їх публічними.

Видатною рисою цієї атаки є її стиль. Замість того, щоб покладатися на один заражений об'єкт, вона автоматично поширюється на всі NPM-пакети.

###Атака на автопром може відобразитися на економіці Великобританії

Jaguar Land Rover (JLR) третю неділю поспіль не може наладити виробництво через кібератаку. Виробник автомобілів класу люкс повідомив, що його конвеєри зупинені як мінімум до 24 вересня.

У компанії підтвердили, що зловмисники вкрали інформацію з її мережі, проте поки не покладають відповідальність за атаку на конкретну хакерську групу.

За даними BleepingComputer, про свою причетність до кібератаки заявила група кіберзлочинців Scattered Lapsus$ Hunters, яка опублікувала в Telegram-каналі скріншоти внутрішньої системи JLR. У записі стверджується, що хакери також розгорнули програму-вимагач на скомпрометованій інфраструктурі компанії.

За підрахунками BBC, кожен тиждень простою обходиться компанії мінімум у 50 млн фунтів стерлінгів (~$68 млн). У свою чергу, The Telegraph оцінює втрати за той же період у ~$100 млн. Постачальники JLR стурбовані тим, що не зможуть впоратися з несподіваною кризою, і побоюються банкрутства.

###Секретні дані «Великого китайського файрвола» потрапили в відкритий доступ

12 вересня дослідники з команди Great Firewall Report повідомили про найбільшу витік даних в історії «Великого китайського файрвола».

В мережу потрапило близько 600 ГБ внутрішніх документів, вихідних кодів, внутрішнього листування розробників, що використовуються для створення і підтримки китайської національної системи фільтрації трафіку.

За словами дослідників, витік містить повноцінні системи збору платформ відстеження трафіку, а також модулі, що відповідають за розпізнавання та уповільнення певних інструментів обходу блокувань. Велика частина стека націлена на виявлення забороненого в Китаї VPN.

Спеціалісти Great Firewall Report стверджують, що частина документації стосується платформи Tiangou — комерційного продукту, призначеного для використання провайдерами та прикордонними шлюзами. Експерти вважають, що перші ітерації програми розгортали на серверах HP та Dell.

Крім того, в розкритих документах є згадка про встановлення цього програмного забезпечення в 26 дата-центрах М'янми. Система нібито управлялася державною телекомунікаційною компанією і була інтегрована в основні точки обміну інтернет-трафіком, що дозволило здійснювати як масову блокування, так і вибіркову фільтрацію.

Згідно з Wired та Amnesty International, інфраструктура також експортувалася в Пакистан, Ефіопію, Казахстан та інші країни, де використовується поряд з іншими платформами законного перехоплення трафіку.

###Споживачі люксової продукції на карандаші у хакерів

15 вересня власник безлічі люксових брендів концерн Kering підтвердив витік даних, що торкнувся клієнтів його дочірніх компаній Gucci, Balenciaga, Alexander McQueen, Yves Saint Laurent.

За даними BBC, хакери вкрали персональні дані, включаючи імена, адреси електронної пошти, номери телефонів, домашні адреси, а також загальну суму грошей, витрачену покупцями в магазинах по всьому світу.

За атакою, ймовірно, стоїть хакерська група ShinyHunters, яка стверджує, що вкрала особисті дані як мінімум 7 млн людей, однак число постраждалих, ймовірно, значно вище.

Групування також підозрюють у причетності до викрадення безлічі баз, розміщених у Salesforce. Кілька компаній, включаючи Allianz Life, Google, Qantas та Workday, підтвердили факт крадіжки даних в результаті цих масових зломів.

Також читайте на ForkLog:

• CZ попередив про загрозу «підставних співробітників» з КНДР.
• Оновлений позов розкрив деталі хакерської атаки на біткоїн-біржу Coinbase.
• У мережі Ethereum «застряли» токени DYDX вартістю $26 млн.
• Ізраїль вимагав замороження, пов’язаного з терористами, 1,5 млн USDT.
• У Monero відбулася найбільша за 12 років реорганізація блоків.
• Міст Shibarium зазнав злому на ~$2,3 млн.

###Що почитати на вихідних?

ForkLog досліджував пропозиції Privacy Stewards for Ethereum — нової команди в складі Ethereum Foundation — і розповів, як співробітники організації планують впровадити приватність на всіх рівнях мережі, аж до додатків.