Масовими жертвами нового вірусу, який краде криптовалюту, стали IT-фахівці

Аналітики виявили в пакетах репозиторію однієї з найпопулярніших мов програмування Python шкідливий код, націлений на встановлення браузерного розширення, що краде криптовалюту. Про це повідомили аналітики Phylum.

Репозиторій — сервер, на якому зберігається і з якого можна завантажити програмне забезпечення. Понад 450 пакетів у репозиторії Python під назвою PyPI встановлюють шкідливе розширення у браузер Chrome для крадіжки криптовалют. Шкідливі пакети намагаються видавати себе за справжні, але відрізняються лише однією друкарською помилкою, вводячи жертву в оману.

Найчастіше жертви стикаються з шахрайськими копіями пакетів bitcoinlib, ccxt, cryptocompare, cryptofeed, solana та інших. Щоб ускладнити виявлення шкідливого коду, зловмисники використовують новий метод заплутування, використовуючи у скрипті пакету китайські ієрогліфи, наголосили спеціалісти.

Для перехоплення криптовалютної активності користувача шкідливий скрипт створює програму в папці %AppData%Extension. Вірус шукає ярлики, пов’язані з Google Chrome, Microsoft Edge, Brave або Opera, перехоплює шляхи їх розміщення та вписує в адресу шкідливе розширення.

Під час нового запуску браузера завантажиться розширення, а шкідливий код на базі JavaScript почне відстежувати дані, що копіюються у буфері обміну. Як тільки вірус зафіксує спроби жертви скопіювати чиюсь адресу для відправки криптовалюти, розширення браузера відразу підробить його на адресу, яка належить зловмиснику. За даними Phylum, зловмисники стежать за адресами з блокчейн-мереж Bitcoin, Ethereum, TRON, BNB Chain, Litecoin, XRP, Dash, Bitcoin Cash і Cosmos.

Нагадаємо, що хакери початківці стали використовувати штучний інтелект ChatGPT для створення вірусів. В одному з наведених прикладів від спеціалістів Check Point Research описується скрипт мовою Python, який при деякому доопрацюванні можна перетворити на програму-вимагач, здатну шифрувати дані на комп’ютері користувача. Ще один створений ChatGPT скрипт на Python здійснює пошук файлів заданого типу, наприклад, PDF на локальній машині, здійснює їх стиснення та відправку на сервер потенційного зловмисника — це стандартний сценарій крадіжки інформації.