Подразделение Microsoft Threat Intelligence раскрыло вредоносную кампанию, направленную на кражу данных криптовалютных кошельков через заражённые пакеты в публичном реестре npm. Атакующие внедрили троян удалённого доступа (RAT) в пакеты @0xengine/xmlrpc и @aws-sdk/client-ec2-instance-connect, которые при установке разработчиком скрытно записывают нажатия клавиш, делают скриншоты и сканируют файлы приватных ключей, seed-фраз и паролей.
Особенность этой атаки — использование доверенной платформы Hugging Face, популярной среди специалистов по искусственному интеллекту и машинному обучению, для передачи похищенных данных. Маршрутизация трафика через легитимный сервис позволяет избежать подозрений со стороны базовых средств безопасности, поскольку отсутствует прямое соединение с командным сервером злоумышленников.
Одновременно Microsoft предупредила о второй угрозе: вредоносное ПО для скрытого майнинга (cryptojacking), распространяемое через отравленные результаты поиска и поддельные утилиты, такие как CrystalDiskInfo и HWMonitor. Оно нацелено на геймеров и энтузиастов с мощными графическими процессорами, чтобы максимально эффективно использовать их вычислительные ресурсы для добычи криптовалют.
Эти инциденты вписываются в более широкую картину атак на цепочки поставок программного обеспечения. Ранее в мае кампания TrapDoor через 34 вредоносных пакета в экосистемах npm, PyPI и Rust атаковала разработчиков крипто- и AI-проектов, а в марте Slow Fog предупреждала о поддельных версиях Axios, внедрявших трояны. Подобные атаки подрывают доверие не только к инструментам разработки, но и ко всей инфраструктуре хранения цифровых активов.
Microsoft настоятельно рекомендует разработчикам проверить установленные пакеты, удалить подозрительные зависимости, сменить скомпрометированные учётные данные, а пользователям криптовалют — избегать хранения seed-фраз на подключённых устройствах и тщательно проверять каждую транзакцию перед подписанием.
