6 Minuty
Natychmiastowe ostrzeżenie dla użytkowników Ethereum i Binance Smart Chain
Badacze bezpieczeństwa z Cisco Talos zidentyfikowali kampanię cyberprzestępczą powiązaną z Koreą Północną, wykorzystującą rodzinę złośliwego oprogramowania śledzoną jako OtterCookie/BeaverTrail, mającą na celu kradzież środków i danych uwierzytelniających użytkowników Ethereum oraz Binance Smart Chain (BSC). Aktywiści złośliwi dystrybuują ten malware za pośrednictwem fałszywych aplikacji kryptowalutowych oraz złośliwych pakietów npm, co umożliwia przechwytywanie kluczy prywatnych, zawartości schowka, zrzutów ekranu oraz danych portfeli przeglądarkowych, takich jak MetaMask. W praktyce atak łączy elementy phishingu, inżynierii społecznej i ataków łańcucha dostaw (supply chain), a jego celem są zarówno doświadczeni użytkownicy kryptowalut, jak i deweloperzy oraz osoby instalujące zewnętrzne paczki oprogramowania.
Jak działa atak
Przestępcy często wabiają ofiary fałszywymi ofertami pracy, pozornie wiarygodnymi propozycjami projektów lub komunikatami z zaufanych źródeł, które zachęcają do uruchomienia skryptów JavaScript. Po wykonaniu obfuskowanego kodu JavaScript z niezweryfikowanego źródła, OtterCookie/BeaverTrail pobiera i instaluje komponenty, które rozpoczynają szerokie zbieranie informacji. Typowy łańcuch zdarzeń obejmuje: uruchomienie złośliwego kodu (np. przez otwarcie fałszywej aplikacji, uruchomienie polecenia instalacji npm albo wykonanie skryptu z repozytorium), następnie pobranie dodatkowych modułów, ustanowienie trwałości na systemie (przez zadania harmonogramu, wpisy w rejestrze Windows, usługi lub skrypty startowe) oraz eksfiltrację zebranych danych do serwerów kontrolowanych przez napastników. Zainfekowany program potrafi przeszukiwać system w poszukiwaniu plików portfeli, katalogów rozszerzeń przeglądarki (gdzie mogą znajdować się rozszerzenia typu MetaMask), lokalnych baz danych LevelDB/IndexedDB, a także archiwów i dokumentów zawierających frazy charakterystyczne dla kryptowalut.
Techniczne szczegóły typowych działań malware obejmują monitorowanie schowka (clipboard monitoring) w celu przechwytywania skopiowanych kluczy prywatnych lub seed phrase, wykonywanie zrzutów ekranu, przechwytywanie danych przeglądarki (plików cookies, tokenów sesji, localStorage) oraz zapisywanie plików z hasłami lub konfiguracją portfeli. Eksfiltracja może odbywać się przez szyfrowane połączenia HTTPS, tunele proxy lub serwery C2 (command-and-control). W warstwie dystrybucji obserwuje się także ataki typu typosquatting na pakiety npm – złośliwe paczki o nazwach podobnych do popularnych bibliotek, które przyciągają instalacje deweloperów i automatycznych procesów CI/CD. Uruchamianie anonimowego lub niezweryfikowanego kodu bez izolacji pozostaje zasadniczym wektorem umożliwiającym porwania portfeli (wallet hijacking).
Natychmiastowe kroki dla potencjalnie dotkniętych użytkowników
Jeżeli podejrzewasz, że Twój system mógł zostać skompromitowany, traktuj każdy „hot wallet” (portfel podłączony do sieci) jako przejęty. Pierwsze działania powinny być szybkie i przemyślane: przenieś pozostałe środki na bezpieczny portfel typu cold wallet (najlepiej sprzętowy), odrzuć i unieważnij stare zgody na tokeny (token approvals), zmień hasła do kont powiązanych z portfelami oraz włącz wieloskładnikowe uwierzytelnianie (MFA) tam, gdzie to możliwe. Przy migracji środków używaj czystego, bezpiecznego urządzenia do konfiguracji nowego portfela sprzętowego i nigdy nie wklejaj seed phrase ani kluczy prywatnych na urządzeniu podłączonym do Internetu. Dobrym podejściem jest wygenerowanie nowego klucza prywatnego wyłącznie na portfelu sprzętowym oraz podpisanie transakcji z poziomu urządzenia.
Eksperci często zalecają ponowną instalację systemu operacyjnego (clean OS reinstall), aby usunąć trwałe komponenty malware, których standardowe antywirusy mogą nie wykryć. Przed reinstalacją wykonaj ostrożne kopie zapasowe jedynie niezbędnych plików, przeskanuj je na niezależnym urządzeniu i nie przywracaj automatycznie zainfekowanych konfiguracji. Sprawdź także elementy systemowe, które mogą świadczyć o pozostawionej trwałości: zaplanowane zadania (Task Scheduler), wpisy w rejestrze (klucze Run/RunOnce), nietypowe usługi systemowe, sterowniki lub modyfikacje autostartu. Monitoruj logi sieciowe i połączenia wychodzące z maszyny pod kątem nieznanych hostów lub długotrwałych połączeń z serwerami C2.
Aby unieważnić zgody (token approvals) w sieciach Ethereum i BSC, można skorzystać z serwisów takich jak Revoke.cash, przeglądając aktywne zatwierdzenia w Etherscan lub BscScan i ustawiając limity na zero lub cofając pozwolenia. Jeżeli środki zostały już przetransferowane do giełdy centralizowanej, natychmiast skontaktuj się ze wsparciem giełdy, poproś o zamrożenie środków i dokładne śledzenie transakcji – choć warto pamiętać, że transfery między portfelami blockchain są często nieodwracalne i natychmiastowe.
Zapobieganie i dobre praktyki
Aby zredukować ryzyko podobnych ataków, unikaj wykonywania niezweryfikowanych pakietów npm i anonimowego kodu na głównym urządzeniu. Zamiast tego uruchamiaj podejrzane lub nieznane skrypty w odizolowanych środowiskach: wirtualnych maszynach, kontenerach lub piaskownicach (sandbox). Sprawdzaj wiarygodność pakietów npm — weryfikuj autora, liczbę pobrań, historię wydań, recenzje i podpisy cyfrowe; używaj plików lockfile (package-lock.json, yarn.lock) oraz narzędzi do audytu zależności (npm audit, snyk). Unikaj instalowania globalnych pakietów z nieznanych źródeł oraz automatycznego uruchamiania skryptów z repozytoriów, które nie są zaufane.
Dla znacznych zasobów kryptowalut najlepszą praktyką jest korzystanie z portfeli sprzętowych (Ledger, Trezor) oraz rozwiązań multisig (np. Gnosis Safe) lub portfeli typu smart contract, które ograniczają pojedynczy punkt błędu i wymagają wielu sygnatariuszy dla wyższych transferów. Integrując portfel sprzętowy z rozszerzeniem przeglądarkowym (np. MetaMask + Ledger), upewnij się, że podpisywanie transakcji odbywa się fizycznie na urządzeniu, a nie przez wklejanie kluczy prywatnych. Limitowanie przywilejów i segregacja środków (np. mały hot wallet do codziennego użycia i cold wallet do przechowywania rezerw) zmniejsza potencjalne straty.
Ograniczaj uprawnienia rozszerzeń przeglądarki, regularnie audytuj aktywne zatwierdzenia tokenów i używaj narzędzi do audytu transakcji, które pokazują jakie funkcje smart kontraktów są wywoływane. W kontekście schowka warto stosować menedżery haseł i mechanizmy auto-fill, które nie kopiują seed phrase do systemowego clipboardu, oraz okresowo czyścić schowek. Edukacja i procedury w organizacjach — w tym polityki dotyczące instalowania oprogramowania i wykonywania kodu — znacząco obniżają ryzyko sukcesu ataku.
Pozostań na bieżąco z komunikatami o zagrożeniach od wiarygodnych źródeł (np. Cisco Talos, zespoły ds. bezpieczeństwa blockchain, serwisy threat intelligence) i postępuj zgodnie z ogólnymi zasadami cyberhigieny: aktualizuj systemy i przeglądarki, wdrażaj poprawki bezpieczeństwa na bieżąco, ograniczaj użycie kont z uprawnieniami administracyjnymi oraz monitoruj środowisko pod kątem anomalii. W przypadku wątpliwości warto skonsultować incydent z zespołem ds. reagowania na incydenty (IR) lub wyspecjalizowanym dostawcą usług bezpieczeństwa, który może przeprowadzić analizę forensyczną i wskazać ioc (indikatory kompromitacji) oraz zakres naruszenia.
Źródło: smarti
Zostaw komentarz