Взлом разработчиков dYdX, ИИ-расширения для Chrome с вредоносом и другие события кибербезопасности

Итоги недели: добыто 20 млн BTC, власти США внезапно высказались в пользу приватности

15.03.2026

Китай впервые одобрил коммерческое применение нейроимпланта

15.03.2026

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Хакеры взломали аккаунты разработчиков криптобиржи dYdX.
Северокорейские хакеры использовали новые вредоносы для macOS для кражи криптовалют.
ИИ-расширения для Chrome с вредоносом установили 300 000 пользователей.
Жителей Коннектикута обвинили в краже $3 млн.

Хакеры взломали аккаунты разработчиков криптобиржи dYdX

Злоумышленники взломали аккаунты разработчиков децентрализованной криптобиржи dYdX и внедрили вирус в официальные программные пакеты (npm и PyPI). Взлом обнаружили специалисты Socket.

Пакеты npm и PyPI используются программистами для работы с протоколами биржи, включая создание кошельков и проведение сделок. Поскольку через dYdX проходят миллиарды долларов, масштаб угрозы оказался крайне высоким.

Целью атаки были сид-фразы криптокошельков. Как только разработчик соприкасался с зараженной библиотекой, вирус копировал ключи доступа и отправлял их на сервер хакеров. Злоумышленники использовали адреса сайтов, которые визуально почти не отличаются от официальных доменов биржи.

Для разработчиков на Python-версии софта ситуация оказалась еще хуже: в систему устанавливался троян для удаленного управления. Вирус активизировался в фоновом режиме каждые 10 секунд, позволяя хакерам выполнять любой код на компьютере жертвы. Это давало возможность воровать не только криптовалюту, но и пароли, личные файлы, а также следить за действиями пользователя.

Специалисты Socket отметили, что взломщики знали внутреннее устройство системы. Они спрятали вредоносный код глубоко в легитимных файлах, которые запускаются автоматически.

После предупреждения экспертов биржа подтвердила факт взлома и призвала всех, кто скачивал обновления в январе 2026 года, немедленно изолировать компьютеры и перевести деньги на новые безопасные кошельки.

1/ IMPORTANT SECURITY ANNOUNCEMENT — READ IF YOU HAVE USED VERSIONS OF DYDX-V4 CLIENTS HOSTED ON PyPI or NPM.
— dYdX (@dYdX) January 29, 2026

Северокорейские хакеры использовали новые вредоносы для macOS для кражи криптовалют

Северокорейские хакеры проводят персонализированные кампании, используя сгенерированные ИИ-видеоролики для доставки вредоносов криптопользователям. Об этом сообщили эксперты Mandiant.

Целью злоумышленников является финансовая выгода, на что указывает набор инструментов, использованных при атаке на неназванную финтех-компанию. По данным Mandiant, в ходе работы исследователи обнаружили семь различных семейств вредоносного ПО для macOS и приписали авторство группировке UNC1069, за которой они ведут наблюдение с 2018 года.

С жертвой связались через Telegram со взломанного аккаунта руководителя криптовалютной компании. После установления доверительных отношений хакеры отправили ссылку на Calendly, которая перенаправляла жертву на поддельную страницу конференции Zoom, размещенную на инфраструктуре атакующих.

По словам пострадавшего, хакеры показали дипфейк-видео генерального директора криптокомпании. Во время видеозвонока злоумышленник имитировал проблемы со звуком. Под этим предлогом он инструктировал жертву, как «исправить ошибки», выполнив команды, которые запускали цепочку заражения для Windows и macOS.

Затем хакеры последовательно разворачивали семь различных семейств вредоносного ПО:

WAVESHAPER — бэкдор, который работает как фоновая служба, собирает информацию о системе и загружает следующие модули;
HYPERCALL — загрузчик для скачивания вредоносных динамических библиотек и загрузки их напрямую в память;
HIDDENCALL — бэкдор, обеспечивающий хакерам прямой доступ к клавиатуре, выполнение команд и операции с файлами;
SILENCELIFT — минималистичный бэкдор, который передает статус блокировки экрана на сервер хакеров и может перехватывать сообщения в Telegram при наличии root-прав;
DEEPBREATH — инструмент для кражи данных. Он обходит защиту macOS, крадет содержимое цифровой связки ключей, данные браузеров, Telegram и Apple Notes;
SUGARLOADER — загрузчик, использующий зашифрованную конфигурацию для получения полезной нагрузки следующих этапов;
CHROMEPUSH — инструмент для майнинга данных браузера, который маскируется под расширение «Google Документы офлайн» и перехватывает нажатия клавиш, куки и делает скриншоты.

В Mandiant отметили, что семейства SILENCELIFT, DEEPBREATH и CHROMEPUSH представляют собой совершенно новый набор инструментов группировки. Исследователи назвали «необычным» такой объем вредоносного ПО, развернутый на одном хосте против одного человека.

Это подтверждает, что атака была узкоспециализированной и нацеленной на сбор максимума данных для двух целей: кражи криптовалюты и подготовки будущих кампаний путем кражи личности и контактов жертвы.

ИИ-расширения для Chrome с вредоносом установили 300 000 пользователей

30 вредоносных ИИ–расширений для Chrome установило более 260 000 пользователей. Об этом сообщили исследователи платформы безопасности браузеров LayerX.

Обнаруженная кампания маскируется под ИИ-помощников с целью кражи учетных данных, содержания электронных писем и информации о просмотренных страницах.

Установлено, что все проанализированные расширения являются частью одной мошеннической сети, так как они связываются с инфраструктурой на едином домене.

По данным исследователей, самым популярным расширением в кампании было Gemini AI Sidebar (80 000 пользователей), которое уже удалено из магазина. Однако издание BleepingComputer обнаружило, что другие расширения с тысячами установок все еще присутствуют в репозитории Google:

AI Sidebar — 70 000 пользователей;
AI Assistant — 60 000 пользователей;
ChatGPT Translate — 30 000 пользователей;
AI GPT — 20 000 пользователей;
ChatGPT — 20 000 пользователей;
Google Gemini — 10 000 пользователей.

Все 30 расширений имеют одинаковую внутреннюю структуру, логику JavaScript и запрашиваемые разрешения. Они не содержат ИИ-функций внутри кода. Вместо этого они загружают контент с удаленного домена.

Что особенно опасно: разработчики могут изменить логику работы расширения в любой момент на стороне сервера, не выпуская обновление. Такой подход позволяет обходить повторную проверку модераторами Google.

В фоновом режиме расширения извлекают содержимое посещаемых страниц, включая конфиденциальные страницы авторизации:

слежка за Gmail. 15 расширений нацелены именно на данные почты Google. Скрипт считывает текст писем прямо из браузера и может перехватывать даже черновики;
утечка данных. При использовании функций вроде «составления ответа с ИИ», текст письма отправляется на сторонние серверы злоумышленников, выходя за пределы защищенного контура Gmail;
прослушка. Софт также имеет функцию распознавания голоса, которая активируется удаленно. В зависимости от разрешений, он может записывать разговоры пользователя.

BleepingComputer обратился в Google за комментариями, но на момент публикации корпорация не ответила. Специалисты рекомендовали свериться со списком индикаторов взлома от LayerX, немедленно удалить расширение и сменить пароли.

Жителей Коннектикута обвинили в краже $3 млн

Двух граждан Коннектикута обвинили в мошенничестве с использованием платформ гемблинга и украденных личных данных. Об этом сообщает Минюст США.

Согласно обвинительному заключению, с апреля 2021 по 2026 год сообщники похитили $3 млн, используя украденные личные данные порядка 3000 жертв.

Мошенники действовали по следующему алгоритму:

покупка данных. Они приобретали персональную информацию тысяч людей на рынках даркнета и в мессенджере Telegram;
создание аккаунтов: Используя данные, они открывали тысячи фальшивых аккаунтов на платформах вроде FanDuel, DraftKings и BetMGM;
проверка данных. Обвиняемые подписывались на сервисы проверки биографических данных (TruthFinder, BeenVerified), чтобы отвечать на контрольные вопросы при верификации аккаунтов;
автоматизация. Один из подозреваемых вел таблицу, где хранились имена, даты рождения, адреса, электронные почты и номера социального страхования жертв.

«Я просто просматривал список номеров социального страхования и использовал обратный поиск по номеру телефона в приложении Scam Shield», — писал обвиняемый Амитой Капур в текстовом сообщении сообщнику Сиддхарту Лиллани.

При совпадениях злоумышленник создавал аккаунт. В некоторых случаях обходилось без дополнительной проверки сервисом BeenVerified.

Целью схемы было получение промо-бонусов, которые букмекеры предлагают при первом депозите или ставке. Если такая ставка выигрывала, обвиняемые переводили средства на виртуальные карты предоплаты, затем — на свои личные счета.

Microsoft устранила удаленное выполнение кода в блокноте Windows 11

Microsoft исправила критическую уязвимость в «Блокноте» для Windows 11, которая позволяла хакерам запускать локальные или удаленные программы. Для этого злоумышленникам было достаточно обманом заставить пользователя нажать на специально подготовленную ссылку в формате Markdown, сообщает BleepingComputer.

С выходом Windows 11 Microsoft решила отказаться от редактора WordPad и модернизировать «Блокнот». Его переписали с нуля, добавив поддержку Markdown. Это позволило пользователям форматировать текст и вставлять кликабельные ссылки прямо в текстовых файлах (.md).

По данным СМИ, проблема была в неправильной обработке специальных элементов в командах. Хакер мог создть файл Markdown с вредоносными ссылками, использующими протоколы типа file:// (путь к исполняемому файлу) или ms-appinstaller:// (установка приложений).

После его открытия в «Блокноте» ранних версий (включая 11.2510) в режиме Markdown текст отображался, как ссылка. После нажатия на нее комбинацией клавиш Ctrl+клик, ПО автоматически запускало указанный файл или протокол. Главная опасность заключалась в том, что код выполнялся в безопасной среде пользователя, с теми же правами доступа, а Windows не выводила стандартное предупреждение о запуске потенциально опасного файла.

Исследователи безопасности выяснили, что можно было создавать ссылки даже на файлы, расположенные на удаленных сетевых ресурсах. После выпуска исправления при попытке нажать на любую другую ссылку «Блокнот» выводит диалоговое окно с предупреждением.

Также на ForkLog: