Фішингові запрошення на Y Combinator з метою крадіжки криптовалют, знищення найбільшої в США SIM-ферми та інші події кібербезпеки

# Фішингові запрошення на Y Combinator з метою крадіжки криптовалют, знищення найбільшої в США SIM-ферми та інші події кібербезпеки

Ми зібрали найважливіші новини з світу кібербезпеки за тиждень.

• Блокчейн-розробники майже 8500 раз завантажили стилер криптовалют.
• У запрошеннях на акселератор стартапів Y Combinator виявлено криптодрейнер.
• Новий шкідливий програмний засіб під macOS націлений на крадіжку криптовалюти розробників.
• Секретна служба США нейтралізувала найбільшу SIM-ферму неподалік від штаб-квартири ООН.

Блокчейн-розробники майже 8500 раз завантажили стилер криптовалют

Два шкідливі пакети в офіційному репозиторії мови програмування Rust сканували пристрої розробників з метою крадіжки криптовалют та секретної інформації. З 25 травня 2025 року їх встигли завантажити 8424 рази. Про це 24 вересня повідомили дослідники в сфері безпеки Socket.

Вредоноси faster_log та async_println поширювалися через реєстр Crates.io, еквівалент npm для JavaScript. Вони імітували легітимний fast_log, скопіювавши його README-файл та метадані репозиторію. При цьому зловред зберіг функцію логування реального проєкту, щоб знизити підозру.

Приклади шахрайських та справжніх пакетів для Rust-розробників. Джерело: Socket.ПО шахраїв сканувало середовище жертви та вихідні файли проєкту на предмет наступних елементів:

• шестнадцяткові рядки, схожі на приватні ключі Ethereum;
• рядки Base58, які нагадують ключі та адреси Solana;
• байтові масиви в дужках, які можуть приховувати сид-фрази.

Після знаходження збігів код ексфільтрував дані на закодовану URL-адресу.

Платформа в день повідомлення видалила фейкові пакети та заблокувала облікові записи шахраїв.

У запрошеннях на акселератор стартапів Y Combinator виявлено криптодрейнер

Масштабна фішингова кампанія націлилася на користувачів GitHub посередництвом криптовалютних дрейнерів, проникаючих через фейкові запрошення на участь у програмі підтримки стартапів Y Combinator

24 вересня BleepingComputer повідомив, що зловмисники використовували недоліки системи сповіщень для доставки шахрайських повідомлень. Вони створювали завдання в кількох репозиторіях і відзначали цільових користувачів

При згадуванні імені облікового запису в завданнях GitHub автоматично надсилається сповіщення. Оскільки лист приходить з легітимного джерела, він потрапляє прямо у вхідні повідомлення.

В якості приманки надсилалося запрошення оформити заявку на участь у майбутньому раунді фінансування Y Combinator з фондом у $15 млн. У деяких репозиторіях було відкрито до 500 задач від користувача, зареєстрованого всього тиждень тому.

Сайт-підробка з навмисною помилкою в доменному імені. Джерело: BleepingComputer.Отримувачам листів пропонувалося перейти за фішинговим посиланням. Підробний домен сторінки був написаний з майже непомітною помилкою («l» замість «i»). Після переходу за посиланням запускалася JavaScript, яка пропонує верифікувати криптогаманець. Підписання запускало шкідливі транзакції для обнулення рахунків.

Після скарг у GitHub, IC3 та Google Safe Browsing шахрайські репозиторії були видалені.

Новий шкідливий ПЗ для macOS націлений на крадіжку криптовалюти розробників

25 вересня спеціалісти Microsoft Threat Intelligence виявили новий варіант шкідливого ПЗ XCSSET для macOS, створеного для крадіжки нотаток, криптовалют та даних браузерів з заражених пристроїв. Він поширюється шляхом пошуку та зараження інших проєктів у середовищі для розробників Xcode, запускаючись під час збору продукту.

«Ми вважаємо, що цей спосіб зараження та розповсюдження ґрунтується на обміні файлами проєктів між розробниками, які створюють застосунки для Apple або macOS», — йдеться в звіті експертів.

Дослідники відзначили кілька змін у новій версії стилера:

• націленість на дані браузера Firefox та встановлення модифікованої збірки HackBrowserData, яка розшифровує та експортує дані з сховищ;
• оновлення компонента перехвату буфера обміну macOS, який аналізує шаблони регулярних виразів, пов'язаних з криптовалютними адресами;
• після виявлення криптогаманця відбувається його заміна на шахрайський.

Секретна служба США нейтралізувала найбільшу SIM-ферму неподалік від штаб-квартири ООН

23 вересня Секретна служба США повідомила про проведення операції, в ході якої була виявлена та нейтралізована найбільша в історії країни SIM-ферма.

Згідно з The New York Times, розслідування за цим справою почалося після того, як на початку року високопоставленим чиновникам почали надходити анонімні дзвінки з погрозами. Жертвами стали два працівника Білого дому та один співробітник Секретної служби.

В ході заходів вдалося вилучити понад 300 поєднаних SIM-серверів та 100 000 SIM-карт. Ферма працювала за 56 км від штаб-квартири ООН, де проходило засідання Генеральної Асамблеї за участю світових лідерів. Спецслужбам вдалося нейтралізувати ферму за кілька годин до засідання.

Джерело: Секретна служба США. Потужності ферми дозволяли за кілька хвилин розіслати спам практично на всі американські телефонні номери, а також вивести з ладу всю національну телекомунікаційну мережу.

В ході розслідування оперативники виявили порожні конспіративні квартири, орендовані в Армонці (штат Нью-Йорк), Грінвічі (штат Коннектикут), Квінсі (штат Нью-Йорк) та Нью-Джерсі. Агенті також вилучили вогнепальну зброю, комп'ютери, мобільні телефони та 80 грамів кокаїну.

З'явилися перші зачіпки у справі про атаку на європейські аеропорти

24 вересня затримано підозрюваного у поширенні ПЗ-вимагача, яке спричинило масштабні збої в системах європейських аеропортів.

Чоловіка заарештовано у Великій Британії Національним агентством по боротьбі з організованою злочинністю в рамках розслідування кіберінциденту, що вплинув на Collins Aerospace.

Прочитайте повну історію ➡️ pic.twitter.com/v2DL1st9SC

— Національне агентство боротьби з злочинністю (NCA) (@NCA_UK) 24 вересня 2025

Правоохоронці заявили, що арешт відбувся після розслідування кібернападу, який торкнувся програмного забезпечення Multi-User System Environment (MUSE) від Collins Aerospace. На час розслідування підозрюваний звільнений під заставу.

Атаку виявили у п'ятницю, 19 вересня, коли з'явилися перші повідомлення про затримку рейсів. До переліку транспортних вузлів, які зазнають технічних труднощів, входять лондонський Хітроу, аеропорт Брюсселя, аеропорт Дубліна, берлінський аеропорт імені Віллі Брандта та інші.

Інтерпол вилучив $439 млн у криптовалюті та готівкою

В ході міжнародної операції під керівництвом Інтерполу правоохоронні органи вилучили більше $439 млн готівкою та в криптовалюті. Правоохоронці вважають, що конфісковані кошти пов'язані з кіберзлочинами, від яких постраждали тисячі жертв по всьому світу.

Операція під кодовою назвою HAECHI VI проводилась з квітня по серпень за участю влади 40 країн. В її ході слідчі арештували 400 криптогаманців і заблокували понад 68 000 пов'язаних банківських рахунків. У криптовалютах вилучено близько $16 млн.

В рамках операції в Португалії були заарештовані 45 підозрюваних у незаконному доступі до рахунків соціального забезпечення. Крім того, Королівська поліція Таїланду вилучила $6,6 млн, переведених неназваною японською корпорацією на рахунки, контрольовані транснаціональною злочинною групою, що складається з громадян Таїланду та Західної Африки.

Також на ForkLog:

• DeFi-протокол Hypervault «зник» з криптоактивами на $3,6 млн.
• ЗМІ: SEC та FINRA ініціювали розслідування проти DAT-компаній.
• Співзасновник Ethereum закликав замінити закриті системи в медицині та фінансах відкритими рішеннями.
• Хакер, який зламав UXLINK, сам став жертвою атаки.
• У Bloomberg повідомили про раніше невідомий злом Crypto.com.
• Засновник Solana попередив про реальність квантової загрози для біткоїна.