Компрометация Bitwarden CLI, кража $12 млн хакерами КНДР и задержание криптовымогателей в Киеве

На прошедшей неделе произошло сразу несколько крупных инцидентов в области кибербезопасности — от масштабной кражи криптоактивов группировкой из Северной Кореи до внедрения вредоносного кода в популярный менеджер паролей и ареста банды вымогателей в Украине.

Группировка HexagonalRodent похитила $12 млн при помощи ИИ

Северокорейская хакерская группа HexagonalRodent за три месяца сумела украсть около $12 млн в криптовалюте и инфицировать свыше 2000 компьютеров Web3-разработчиков. Целью атак была кража учётных данных и получение доступа к криптокошелькам. Информацию обнародовал специалист по кибербезопасности из компании Expel Маркус Хатчинс.

Ключевым элементом атак стал так называемый вайб-кодинг — создание вредоносного ПО и сопутствующей инфраструктуры через текстовые промпты к нейросетям. Хакеры задействовали ИИ-инструменты веб-дизайна от Anima для генерации сайтов фиктивных IT-компаний. Потенциальных жертв завлекали фальшивыми вакансиями, предлагая выполнить «тестовое задание» с вшитым вредоносом. Весь программный код и переписка на безупречном английском создавались через ChatGPT и Cursor.

Хатчинс проанализировал инфраструктуру злоумышленников, которую те по ошибке оставили в открытом доступе. Среди утёкших данных оказались промпты и база кошельков жертв. Код изобиловал комментариями на английском и эмодзи — характерный маркер полной генерации через LLM.

По оценке эксперта, в 2026 году Пхеньян совершил качественный рывок, применяя ИИ для автоматизации всех этапов кибератак и превращая малоквалифицированных операторов в серьёзную угрозу. Подтверждения этой тенденции поступают и от технологических гигантов: Microsoft зафиксировала использование ИИ северокорейскими агентами для подделки документов и социальной инженерии, а Anthropic сообщила о пресечении попыток использовать модель Claude для доработки вирусов. Представители OpenAI, Cursor и Anima подтвердили факты злоупотребления и заблокировали связанные аккаунты.

Переговорщик с вымогателями оказался их сообщником

Анджело Мартино, ранее работавший переговорщиком с вымогателями в компании по кибербезопасности DigitalMint, признал вину в содействии киберпреступникам. Согласно заявлению Минюста США, Мартино действовал «на две стороны» как минимум в пяти инцидентах: формально защищая интересы пострадавших, он сливал конфиденциальные сведения операторам шифровальщика ALPHV/BlackCat — включая лимиты страховых полисов и переговорные стратегии жертв.

Следствие установило, что Мартино целенаправленно увеличивал суммы выплат для преступников, получая с них свою долю. В 2025 году ему помогали другие сотрудники DigitalMint — Кевин Тайлер Мартин и Райан Клиффорд Голдберг. Втроём они заработали свыше $1,2 млн только на одном из пострадавших. Мартино грозит до 20 лет лишения свободы, у него изъяты активы на $10 млн.

Почему это важно

Эти инциденты демонстрируют несколько тревожных тенденций. Применение ИИ северокорейскими хакерами радикально снижает порог входа в киберпреступность — теперь для создания сложных атак не требуется высокая квалификация. Компрометация инструментов, которым доверяют разработчики (менеджеры паролей, npm-пакеты), представляет угрозу для всей цепочки поставок ПО. А случай с Мартино подчёркивает риски инсайдерских угроз даже в сфере кибербезопасности.

Шпионское ПО доступно 100 правительствам мира

По данным британской разведки, более половины правительств мира — около 100 стран — располагают доступом к коммерческому программному обеспечению для взлома устройств. В 2023 году таких государств насчитывалось 80, а порог доступа к подобным технологиям продолжает снижаться.

Коммерческое шпионское ПО, вроде Pegasus от NSO Group, эксплуатирует уязвимости в операционных системах телефонов и компьютеров. Хотя официально подобные инструменты предназначены для борьбы с терроризмом и тяжкими преступлениями, круг реальных жертв расширился: помимо политических оппонентов и журналистов, под прицелом оказываются банкиры и крупные предприниматели.

В США иммиграционная служба ICE активно применяет израильский софт Graphite. Исполняющий обязанности директора агентства Тодд Лайонс подтвердил это изданию NPR, уточнив, что ПО используется против террористов и наркоторговцев, работающих через зашифрованные мессенджеры. Graphite позволяет получать доступ к данным телефона без необходимости нажатия на ссылки (zero-click).

Инфостилер в CLI-версии Bitwarden

22 апреля 2026 года официальный npm-пакет CLI-интерфейса менеджера паролей Bitwarden версии 2026.4.0 оказался скомпрометирован. В репозиторий была загружена версия с вредоносным кодом, нацеленным на кражу учётных данных разработчиков.

Несколько компаний исследовали инцидент. Эксперты JFrog обнаружили, что пакет использовал кастомный загрузчик bw_setup.js для скрытого запуска шпионского скрипта, который собирал токены npm и GitHub, SSH-ключи, а также доступы AWS, Azure и Google Cloud. В OX Security установили, что зашифрованные похищенные данные выгружались через автоматическое создание публичных репозиториев на GitHub жертвы с маркером «Shai-Hulud: The Third Coming». Аналитики Socket подтвердили нацеленность вируса на CI/CD-инфраструктуру и выявили техническую связь с недавней атакой на цепочку поставок Checkmarx.

Атака приписывается группировке TeamPCP, ранее атаковавшей разработчиков проектов Trivy и LiteLLM. Bitwarden удалила заражённую версию через полтора часа и подтвердила, что пользовательские хранилища и пароли не пострадали.

Apple закрыла уязвимость, давшую ФБР доступ к сообщениям Signal

Apple выпустила патч после того, как ФБР сумело получить доступ к содержимому уведомлений мессенджера Signal через iOS — даже при удалённом приложении.

«We are very happy that today Apple issued a patch and a security advisory. This comes following @404mediaco reporting that the FBI accessed Signal message notification content via iOS despite the app being deleted. Apple's advisory confirmed that the bugs that allowed this to…» — Signal (@signalapp), оригинальный пост

В Signal уточнили, что после установки обновления все непреднамеренно сохранённые уведомления будут удалены, а новые сохраняться не будут.

В Киеве задержана банда криптовымогателей с ботофермой

Киевские правоохранители задержали группу мошенников, которые через площадки Bitcapital и Crypsee выдавали займы в криптовалюте, а затем вымогали средства у должников и их близких. Для давления использовались ботоферма на 6000 сим-карт и сгенерированный оскорбительный контент.

По данным Киберполиции Украины, участники группы организовали колл-центр в Днепре и действовали с 2023 года под прикрытием компаний, зарегистрированных в Великобритании и на Кипре. Операторы использовали фейковые данные и программы для изменения голоса, а при своевременном погашении долгов выдумывали несуществующие задолженности. Над каждой жертвой одновременно «работали» от двух до шести человек, подстраиваясь под индивидуальные уязвимости.

Полиция провела 44 обыска в Днепропетровской области и Киеве, изъяла более 80 мобильных телефонов, компьютерное оборудование, наличные и ботофермы. Общий ущерб превысил 5 млн гривен (около $113 000). Подозреваемым грозит до 12 лет тюрьмы.