8 Minute
Alertă imediată pentru utilizatorii Ethereum și Binance Smart Chain
Cercetătorii în securitate de la Cisco Talos au identificat o campanie de cybercrime legată de Coreea de Nord care folosește o familie de malware urmărită sub denumirile OtterCookie/BeaverTrail pentru a fura fonduri și acreditări de la utilizatorii Ethereum și Binance Smart Chain (BSC). Actorul amenințător distribuie malware-ul printr-o aplicație crypto falsă și printr-un pachet npm malițios, facilitând astfel sustragerea cheilor private, a conținutului clipboard-ului, a capturilor de ecran și a datelor din portofelele din browser, cum ar fi MetaMask. Această combinație de vectori atac permite atacatorilor să extragă atât date sensibile stocate local, cât și informații utile pentru a compromite portofele calde (hot wallets) conectate la browsere sau la aplicații desktop. În practică, un atac reușit poate conduce la pierderea completă a activelor digitale — de la tokenuri ERC‑20 pe Ethereum la active listate pe Binance Smart Chain — iar impactul se extinde la utilizatorii DeFi, la participanții din NFT și la oricine folosește extensii de portofel pentru tranzacții on‑chain.
Cum funcționează atacul
Atacatorii aplică tactici de inginerie socială pentru a atrage victimele, adesea folosind oferte de muncă false, invitații la proiecte crypto sau anunțuri care promit colaborări avantajoase. În esență, victima este convinsă să execuțe cod JavaScript obfuscat sau să instaleze un pachet aparent legitim din npm, care însă conține componente malițioase. Odată rulat codul neîncredibil, familiile de malware cunoscute sub numele OtterCookie și BeaverTrail instalează module care monitorizează activitatea sistemului: inspectează clipboard‑ul pentru a detecta fraze seed sau chei private copiate, realizează capturi de ecran în momentele critice, accesează fișiere locale care pot conține backup‑uri de portofel și extrag date din stocarea extensiilor de browser, cum ar fi MetaMask, prin citirea fișierelor de profil sau a datelor persistente necriptate.
După colectare, informațiile sensibile sunt exfiltrate către servere controlate de atacatori (infrastructură de comandă și control). Tehnicile folosite pentru exfiltrare pot include conexiuni criptate către endpointuri externe, utilizarea de infrastructură intermediară pentru a ascunde legătura directă cu operatorii și, în unele cazuri, implementarea de mecanisme de persistență (de exemplu, taskuri programate, intrări în registry sau servicii ascunse) pentru a menține accesul pe termen lung. Vectorul principal rămâne însă același: rularea de cod necunoscut sau anonim pe sistemul principal al utilizatorului. Acest lucru subliniază riscul semnificativ asociat instalării pachetelor npm nevalidate pe mașina principală, precum și pericolele de a rula snippet‑uri JavaScript din surse neconfirmate în contexte în care sunt prezente portofele hot sau chei private.
În plus, atacurile care vizează portofele de browser profită adesea de aprobările neglijente de tokenuri sau de interacțiunile repetitive ale utilizatorilor cu contractele inteligente. O dată ce un atacator obține fraza seed sau cheia privată, acesta poate semna tranzacții dintr-un portofel compromis, inclusiv aprobări pentru contracte de swap, pool‑uri de lichiditate sau bridge‑uri. De aceea, compromiterea inițială printr‑un pachet npm sau o aplicație falsă se poate transforma rapid într‑o pierdere masivă de active pentru utilizatori individuali și proiecte mici.
Pași imediați pentru potențialele victime
Dacă suspectați că ați fost compromis, tratați orice portofel „cald” (hot wallet) ca fiind compromis. Primul pas pragmatic este transferul imediat al fondurilor rămase către portofele sigure, de preferință un portofel hardware (cold wallet) sau un cont nou creat pe un dispozitiv curat. Nu folosiți același sistem sau același browser pe care credeți că au rulat cod malițios pentru a iniția transferuri; folosiți un dispozitiv curat, necompromis, sau un portofel hardware conectat la un mediu izolat. De asemenea, revocați imediat aprobările vechi pentru tokenuri pe care le foloseați (prin instrumente precum Etherscan, BscScan sau funcționalitățile din MetaMask) și schimbați parolele de pe serviciile asociate (e‑mail, exchange, conturi de dezvoltator). Monitorizați istoricul tranzacțiilor pentru activitate neautorizată și, dacă este cazul, contactați exchange‑urile unde ați putea avea active care pot fi înghețate sau urmărite.
Experții recomandă, pentru eliminarea unei infecții persistente, reinstalarea sistemului de operare sau restaurarea unei imagini de sistem curate; acest lucru reduce riscul ca componente ascunse ale malware‑ului să rămână active. Dacă dispuneți de resurse și este justificat (de exemplu, pierderi semnificative sau investigație legală), păstrați dovezile pentru analiză forenzică: nu resetați nimic înainte de a obține documentația necesară dacă doriți să raportați incidentul autorităților sau să colaborați cu o echipă de răspuns la incidente. De asemenea, curațați clipboard‑ul (clipboard hygiene) imediat: folosiți comenzi care elimină datele sensibile, evitați copierea/pastarea cheilor private sau a frazelor seed și nu le introduceți niciodată într‑un formular online sau într‑o aplicație instalată din surse neconfirmate.
Recomandări practice rapide imediat după suspiciune de compromitere: 1) Transferați activele la un portofel hardware aflat pe un dispozitiv curat; 2) Revocați permisiunile de token și monitorizați tranzacțiile on‑chain; 3) Schimbați parolele și activați autentificarea multi‑factor (MFA) pe toate conturile relevante; 4) Reinstalați SO‑ul sau folosiți o imagine curată; 5) Raportați incidentul la serviciile de suport ale proiectelor afectate, la furnizorii de custodii și la autoritățile relevante (CERT/CSIRT) dacă este necesar. Aceste măsuri reduc riscul pierderilor ulterioare și pot limita capacitatea actorilor de a extrage valoare suplimentară din conturile compromise.
Prevenire și bune practici
Pentru a vă proteja pe termen lung, evitați executarea pachetelor npm nevalidate sau a codului anonim pe dispozitivul principal folosit pentru gestionarea activelor crypto. Verificați semnăturile pachetelor, citiți recenziile, inspectați codul sursă când este posibil și preferați instalarea unor componente din registrii oficiali și din surse verificate. Folosiți portofele hardware pentru sume semnificative; aceste dispozitive păstrează cheile private offline și necesită aprobarea fizică a tranzacțiilor, ceea ce reduce dramatic riscul de furt prin malware care rulează pe gazdă.
Activați autentificarea în doi factori (2FA/MFA) pentru toate serviciile care o permit, inclusiv conturile asociate de e‑mail, schimburile (exchanges) și platformele de dezvoltare. Auditați periodic aprobările pentru tokenuri în MetaMask și în alte extensii de portofel: revocați permisiunile pe care nu le mai folosiți și limitați expunerea la contracte necunoscute. Pentru activități de dezvoltare sau testare, folosiți medii izolate — mașini virtuale, containere sau sisteme limitate — în loc să rulați npm instalări direct pe sistemul folosit pentru operațiuni cu valoare reală.
Mențineți sistemul de operare, browserul și extensiile actualizate, folosiți soluții antivirus/EDR reputate și configurați politici stricte de securitate pentru clipboard și permisiuni ale aplicațiilor. Educați‑vă echipa sau membrii comunității despre riscurile ingineriei sociale, despre recunoașterea pachetelor sau aplicațiilor false și despre importanța utilizării doar a surselor verificate atunci când instalați instrumente pentru managementul cheilor sau pentru interacțiune cu blockchain‑ul. Urmăriți sfaturile și alertele furnizate de echipe de securitate reputate (de exemplu, Cisco Talos) și subscrieți‑vă la canale oficiale de informare pentru proiectele crypto pe care le folosiți.
Consolidând aceste practici — utilizare prioritară a portofelelor hardware, audit constant al aprobărilor, evitarea rulării de cod necunoscut pe dispozitive principale și păstrarea unui nivel ridicat de igienă digitală — reduceți semnificativ probabilitatea de a deveni ținta unor campanii precum cele conduse cu OtterCookie/BeaverTrail. În contextul securității blockchain, combinarea măsurilor tehnice (izolare, folosirea de chei offline) cu măsuri organizaționale și de conștientizare oferă cea mai bună protecție împotriva pierderilor financiare cauzate de malware și de actorii amenințători bine finanțați.
Sursa: smarti
Lasă un Comentariu