Хакеры запустили в сеть Интернет более 700 библиотек с вредоносным программным обеспечением, которое способно украсть биткоины. Вирусы были загружены в RubyGems, менеджер пакетов для языка программирования Ruby, который предоставляет стандартный формат для распространения программ и библиотек Ruby. В зоне опасности остаются «горячие» кошельки, то есть те, которые имеют выход в сеть Интернет.

Хакеры запускают целые армии вирусов

Об этом сообщил аналитик Reversing Labs Томислав Малич в своей авторской статье. Технология запуска вируса-шпиона на компьютер пользователя очень проста. Хакеры создают целые библиотеки различных вирусов и дают названия файлам, которые напоминают названия других полезных программ. К примеру, rspec-mokcs вместо rspec-mocks, где отличия в написании не очевидны. Пользователи просто скачивают не ту программу и запускают на своем устройстве целую армию вирусов, которые способны украсть не только криптовалюту, активировать нелегальный майнинг, но и скопировать личную информацию – банковские карты и счета с доступами к ним.

По такому же принципу действовали мошенники в отношении с RubyGems. Согласно статистике их собственного сайта, хранилище содержит около 158 тысяч пакетов (называемых гемами) с общим объемом загрузок около 49 миллиардов. Каждый gem-файл имеет базовую структуру, состоящую из Bin – двоичные файлы, Lib – который содержит основной код gem, тестовые и другие каталоги. Чтобы внедрить вредоносное ПО на компьютер жертвы, хакеры изменяли коды gem на фальшивые. В результате при использовании библиотеки RubyGems, вирусы попадали в операционную сеть девайса, а потом считывали коды доступа к кошелькам.

По словам Малича, уже в первую неделю мониторинга специалисты обнаружили более 400 файлов, которые были похожи на оригинальные, но таковыми не являлись. Используя функционал ресурса Titanium Platform, специалисты распаковали 20 830 gem-файлов, из которых только 12 720 были уникальными. Все остальные – вирусы, которые охотились на биткоины.

Тогда представители Reversing Labs занялись более детальным изучением и выяснили, что все фальшивые файлы были загружены с двух основных адресов. Учетные записи с никами «JimCarrey» и «PeterGibbons» принадлежали неизвестным пользователям, которые активно добавляли вредоносные коды в файлы gem. С февраля текущего года мошенникам удалось добавить более 700 вирусных файлов, которые уже находятся в сети Интернет.

На данный момент все вредоносные библиотеки удалены из RubyGems, однако сколько пользователей уже скачали вирусы себе, неизвестно.

Как защититься от хакеров

BeInCrypto не раз сообщал о необходимости тщательной защиты криптокошельков от хакеров. Ранее сотрудники Kraken Security Labs провели собственный эксперимент и взломали криптокошелек Trezor за 15 минут, воспользовавшись сбоями электрического напряжения. В такие моменты хранилища криптовалют особенно уязвимы.

Специалисты неоднократно предупреждали, что хранить доступы к кошелькам необходимо на отдельном ресурсе, который не имеет выхода в интернет, например, флеш-карте. Кроме того, эксперты рекомендуют размещать криптомонеты только на холодных кошельках, которые не имеют постоянного доступа в интернет, а также не оставлять криптовалюту на бирже.

Совсем недавно хакеры обокрали Lendf.me, а потом решили его потроллить.