CryptoAITools: как трейдерский ИИ-инструмент обокрал всех пользователей до нитки

Исследователи в области кибербезопасности раскрыли новую вредоносную программу под названием «CryptoAITools», замаскированную под инструмент для торговли криптовалютой. Программа предназначена для кражи данных и опустошения криптовалютных кошельков пользователей. Она распространялась через популярные репозитории, такие как Python Package Index (PyPI) и фальшивые страницы на GitHub, где была загружена более 1300 раз до полного удаления.

Эксперты из компании Checkmarx сообщили, что зловредная программа активируется сразу после установки, нацеливаясь на операционные системы Windows и macOS. Пользователи видят ложный графический интерфейс, который отвлекает внимание, пока программа крадёт данные в фоновом режиме. Вредоносный код, спрятанный в файле «__init__.py», автоматически определяет операционную систему устройства и загружает соответствующую версию программы для дальнейшего выполнения.

Программа загружает дополнительные вредоносные компоненты с поддельного сайта «coinsw[.]app», который якобы предлагает сервис по торговле криптовалютой. Такой подход позволяет хакерам не только скрывать свои действия, но и постоянно обновлять функции программы, изменяя загружаемые вредоносные файлы.

Ключевая особенность зловредной программы — фальшивая установка, которая маскирует процесс кражи данных. Вредоносный код активно собирает конфиденциальную информацию, включая данные из криптовалютных кошельков (Bitcoin, Ethereum и др.), сохранённые пароли, куки-файлы, историю браузера, данные из криптовалютных расширений, SSH-ключи и файлы, содержащие финансовую информацию. В случае устройств на macOS программа также собирает заметки из приложений Apple Notes и Stickies, после чего отправляет всю информацию в сторонний сервис gofile[.]io, удаляя локальные копии.

Checkmarx также выявил, что аналогичная вредоносная программа распространяется через GitHub под видом бота «Meme Token Hunter Bot», якобы работающего на базе искусственного интеллекта и отслеживающего мем-токены на блокчейне Solana. Поддерживается также Telegram-канал, где авторы предлагают подписки и техническую поддержку для потенциальных жертв.

Подход, охватывающий сразу несколько платформ, позволяет злоумышленникам достичь более широкой аудитории, что создаёт серьёзные риски для многих владельцев криптовалют, расширяя масштабы атаки и усложняя её обнаружение.