01/11/24
Программа предназначена для кражи данных и опустошения криптовалютных кошельков пользователей. Она распространялась через популярные репозитории, такие как Python Package Index (PyPI) и фальшивые страницы на GitHub, где была загружена более 1300 раз до полного удаления, пишет Securitylab.
Эксперты из компании Checkmarx сообщили, что зловредная программа активируется сразу после установки, нацеливаясь на операционные системы Windows и macOS. Пользователи видят ложный графический интерфейс, который отвлекает внимание, пока программа крадёт данные в фоновом режиме. Вредоносный код, спрятанный в файле «__init__.py», автоматически определяет операционную систему устройства и загружает соответствующую версию программы для дальнейшего выполнения.
Программа загружает дополнительные вредоносные компоненты с поддельного сайта «coinsw[.]app», который якобы предлагает сервис по торговле криптовалютой. Такой подход позволяет хакерам не только скрывать свои действия, но и постоянно обновлять функции программы, изменяя загружаемые вредоносные файлы.
Ключевая особенность зловредной программы — фальшивая установка, которая маскирует процесс кражи данных. Вредоносный код активно собирает конфиденциальную информацию, включая данные из криптовалютных кошельков (Bitcoin, Ethereum и др.), сохранённые пароли, куки-файлы, историю браузера, данные из криптовалютных расширений, SSH-ключи и файлы, содержащие финансовую информацию. В случае устройств на macOS программа также собирает заметки из приложений Apple Notes и Stickies, после чего отправляет всю информацию в сторонний сервис gofile[.]io, удаляя локальные копии.
Checkmarx также выявил, что аналогичная вредоносная программа распространяется через GitHub под видом бота «Meme Token Hunter Bot», якобы работающего на базе искусственного интеллекта и отслеживающего мем-токены на блокчейне Solana. Поддерживается также Telegram-канал, где авторы предлагают подписки и техническую поддержку для потенциальных жертв.
Подход, охватывающий сразу несколько платформ, позволяет злоумышленникам достичь более широкой аудитории, что создаёт серьёзные риски для многих владельцев криптовалют, расширяя масштабы атаки и усложняя её обнаружение.
