Журналисты издания ZDNet и специалисты компании RiskIQ рассказали о компрометации GitHub-аккаунта разработчиков криптовалюты Denarius. Windows-клиент криптовалютного проекта Denarius был изменен злоумышленниками — в него встроили малварь AZORult.
Главный разработчик Denarius Карстен Клок (Carsen Klock) уже подтвердил факт компрометации, после того как специалисты проинформировали его о возможной проблеме. Он объяснил, что использовал для учетной записи на GitHub старый пароль, которым так же пользовался для других сервисов.
Первым вредоносные изменения в клиенте Denarius для Window заметил ИБ-исследователь Misterch0c. Общими усилиями экспертам удалось установить, что малварь появилась в версии 3.3.6, выпущенной 22 января текущего года. По данным специалистов, «обновленный» клиент содержал известный троян-стилер AZORult, который также может служить загрузчиком для другой малвари. AZORult способен похищать самые разные пользовательские данные: информацию из файлов, пароли, куки, историю браузеров и чатов, пароли от FTP-клиентов, банковские учетные данные и информацию о криптовалютных кошельках. В настоящее время вредоносная версия клиента Denarius уже удалена с GitHub
Misterch0c сообщил, что собранная стилером информация передавалась на управляющий сервер атакующих, расположенный по адресу 51.15.243[.]101. Специалисты RiskIQ проверили данный адрес и обнаружили, что контрольная панель AZORult размещается там с июля 2018 года.
Хуже того, Misterch0c утверждает, что этот адрес также связан с другими вредоносами, которые, судя о всему, тоже были встроены в качестве бэкдоров в различное криптовалютное ПО.
Wow... I think this is bigger than I thought. Look at all these shitcoins wallets that were compromised... pic.twitter.com/gim2mkeXYU
— ????????0? (@MisterCh0c) February 5, 2019
Похоже, специалисты случайно обнаружили масштабную вредоносную кампанию, направленную на незаметную компрометацию приложений кошельков и ПО различных криптовалютных проектов. К примеру, в списке Misterch0c фигурирует токен New York Coin (NYC), чьи разработчики совсем недавно признали, что октябрьская атака 51%, скорее всего, произошла именно из-за компрометации ПО кошельков проекта.