Специалисты «Лаборатории Касперского» выявили новый класс вредоносного ПО, которое через методы социальной инженерии и поддельные приложения на GitHub выманивает у криптоинвесторов доступ к кошелькам и ключам. Речь идёт не об изолированном вирусе, а о целой модульной платформе — фреймворке, который позволяет злоумышленникам адаптировать атаки под разные сценарии.
Как модульная платформа крадёт seed-фразы
По данным компании, злоумышленники распространяют троянизированные (заражённые вредоносным кодом) версии легитимных приложений через репозитории GitHub. Пользователь скачивает, как ему кажется, полезный инструмент для работы с криптовалютами, а на деле получает программу, которая незаметно перехватывает данные, сиды (seed-фразы) и файлы кошельков.
В отличие от типичных фишинговых схем, эта атака использует многоступенчатую архитектуру: после заражения фреймворк может загружать дополнительные модули, обходить антивирусные защиты и оставаться невидимым для стандартных средств мониторинга. «Лаборатория Касперского» подчёркивает, что жертвами становятся именно криптоинвесторы — те, кто активно использует десктопные кошельки и инструменты для DeFi.
Почему фейковый репозиторий выглядит как настоящий
Атакующие не просто рассылают вредоносные ссылки — они тщательно маскируются под разработчиков популярных криптоинструментов. На GitHub создаются фейковые репозитории с подробной документацией, звёздами и форками, чтобы убедить жертву в надёжности приложения.
Ранее эксперты по безопасности уже предупреждали о подобных угрозах: вредоносное ПО для MacOS угоняло сессии Telegram и воровало криптокошельки.
Даже опытный пользователь может не заметить подмены: интерфейс, логотипы и код поддельного приложения почти неотличимы от оригинала.
После установки троянизированного софта фреймворк начинает сбор данных: он мониторит буфер обмена (подменяя адреса кошельков при переводе), перехватывает ввод с клавиатуры и снимает скриншоты экрана. Вся информация уходит на удалённый сервер управления.
Почему угроза особенно актуальна для русскоязычных пользователей
Это открытие — часть растущей тенденции: киберпреступники всё активнее нацеливаются на криптовалютный сектор, используя не примитивные фишинговые письма, а сложные технологические платформы. В 2024 году «Лаборатория Касперского» уже фиксировала рост числа атак через поддельные криптокошельки и DeFi-приложения.
Многие разработчики криптоинструментов из России и стран СНГ публикуют свои проекты на GitHub, а уровень осведомлённости о методах социальной инженерии среди местной аудитории всё ещё остаётся низким. Скачивание софта из непроверенных репозиториев может стоить потери всех активов.
Перед установкой любого крипто-приложения проверяйте имя владельца репозитория, дату создания аккаунта и количество форков — это минимальная защита от подделок.
Эксперты рекомендуют использовать только официальные сайты разработчиков и никогда не вводить seed-фразы в приложения, которые не были проверены через несколько независимых источников.
В ближайшие месяцы можно ожидать появления новых модификаций этого фреймворка, а также копирования его архитектуры другими кибергруппировками. Единственный надёжный способ защиты — сочетание поведенческого анализа (например, решения Kaspersky Endpoint Security) и строгой цифровой гигиены при работе с криптоинструментами.