Инфостилер атакует 700+ криптокошельков, Solana используется как «мёртвый дроп» и санкции Великобритании против Xinbi

На прошедшей неделе в сфере кибербезопасности произошло несколько крупных событий: обнаружен стилер, нацеленный на более чем 700 браузерных криптокошельков, хакеры задействовали блокчейн Solana в качестве скрытого канала связи, а власти Великобритании наложили санкции на криптовалютную площадку Xinbi и связанные с ней структуры.

Torg Grabber: под угрозой 728 криптокошельков и сотни расширений

Специалисты Gen Digital выявили новый инфостилер под названием Torg Grabber, который целенаправленно атакует 850 браузерных расширений. Среди них — 728 криптовалютных кошельков, включая MetaMask, Phantom и TrustWallet, а также менеджеры паролей, инструменты двухфакторной аутентификации и приложения для заметок.

Проникновение в систему происходит через технику ClickFix — злоумышленники перехватывают буфер обмена и вынуждают пользователя запустить вредоносную команду PowerShell. Помимо расширений, Torg Grabber собирает данные из Discord, Telegram, Steam, VPN-клиентов, почтовых сервисов и десктопных криптоприложений.

Функциональность вредоноса выходит далеко за пределы кражи данных расширений:

• создание цифрового отпечатка оборудования;
• анализ установленного ПО (включая 24 антивируса);
• снятие скриншотов рабочего стола;
• хищение файлов из папок «Рабочий стол» и «Документы»;
• выполнение произвольного кода на заражённом устройстве.

С конца 2025 года операторы Torg Grabber перешли на HTTPS-соединение через инфраструктуру Cloudflare и научились обходить защиту куки-файлов в Chrome, Brave, Edge, Vivaldi и Opera. С декабря 2025 по февраль 2026 года зафиксировано 334 скомпилированных образца, а новые командные серверы появляются каждую неделю.

Почему это важно

Масштаб атаки Torg Grabber беспрецедентен для категории инфостилеров — под ударом оказались практически все популярные браузерные криптокошельки. Одновременно кампания GlassWorm демонстрирует эволюцию хакерских методов: использование блокчейна для сокрытия управляющей инфраструктуры существенно затрудняет её блокировку. Санкции Великобритании против Xinbi — один из первых случаев, когда западные регуляторы напрямую ударили по криптоинфраструктуре, обслуживающей мошеннические операции в Юго-Восточной Азии.

GlassWorm: блокчейн Solana как «мёртвый дроп»

Аналитики компании Aikido зафиксировали новую фазу кампании GlassWorm. Хакеры распространяют заражённые пакеты кода через репозитории npm, PyPI, GitHub и маркетплейс Open VSX, а также компрометируют аккаунты мейнтейнеров популярных проектов для внедрения вредоносных обновлений.

Ключевая находка — способ сокрытия адреса управляющего сервера. Вместо жёсткой привязки в коде хакеры использовали метод «мёртвого дропа» через блокчейн Solana. Программа-загрузчик подключается к сети, проверяет определённые кошельки и ищет транзакции со специальным текстовым примечанием (memo). Из этого поля извлекается замаскированная ссылка на C2-сервер.

На втором этапе атаки данные жертвы — криптокошельки, профиль системы — упаковываются в ZIP-архив и передаются на внешний сервер. Далее подгружаются два дополнительных модуля:

• Фишинг аппаратных кошельков: при подключении USB-устройства появляется фейковое окно — для Ledger имитируется ошибка конфигурации с 24 полями для seed-фразы, для Trezor — сообщение о сбое прошивки с аналогичным запросом.
• JavaScript RAT: адрес для загрузки извлекается из описания события в Google Calendar (ещё один «мёртвый дроп»). Троян запускает модуль скрытого удалённого рабочего стола, крадёт браузерные данные и принудительно устанавливает расширение Google Docs Offline, которое собирает историю до 5000 записей, скриншоты, содержимое буфера обмена и отслеживает криптобиржи, например Bybit.

Примечательная деталь: вредонос не заражает системы с русской локализацией.

Великобритания ввела санкции против Xinbi и скам-лагерей

26 марта правительство Великобритании наложило санкции на криптовалютный маркетплейс Xinbi и ряд лиц, причастных к мошенническим лагерям в Юго-Восточной Азии. По заявлению властей, площадка содействовала сбыту украденных персональных данных и предоставляла инструменты для поиска жертв, включая оборудование для спутникового интернета.

Санкции также коснулись компании Legend Innovation — оператора #8Park, крупного мошеннического лагеря в Камбодже. По предварительным данным, там удерживается до 20 000 подневольных работников. Под ограничения попали директор компании Эанг Соклим и лица, связанные с финансовой сетью Prince Group.

По данным Chainalysis, с 2021 по 2025 год через Xinbi прошли транзакции на сумму свыше $19,9 млрд.

В Индии был арестован Сунил Неллат Рамакришнан (известный как Криш) — его подозревают в переправке граждан в мошеннические криптоцентры в Мьянме. Жертв перевозили из Дели в Бангкок под предлогом легального трудоустройства, после чего принудительно отправляли в район Мьявадди, в комплекс KK Park.

Кибератака на производителя алкоблокираторов парализовала автомобили

Хакерской атаке подверглась компания Intoxalock — поставщик систем блокировки зажигания для водителей, осуждённых за вождение в нетрезвом виде в США. Из-за нарушения работы серверов часть пользователей не смогли завести свои автомобили, поскольку устройства требуют регулярной калибровки (примерно раз в месяц), а атака сделала поверку невозможной.

Только в Коннектикуте проблема затронула 7–10% пользователей. Intoxalock продлила авторизацию в сервисных центрах на 10 дней, однако отсрочка работала не для всех версий устройств и не во всех штатах. Систему восстановили 22 марта. Компания пообещала компенсировать расходы пострадавших, включая эвакуацию автомобилей.

Троян обнаружен в ИИ-приложении LiteLLM

Исследователь Каллум Макмахон из FutureSearch выявил вредоносное ПО для кражи учётных данных в популярном ИИ-инструменте LiteLLM, который позволяет разработчикам подключаться к сотням нейросетей и управлять оплатой подписок. У проекта более 40 000 звёзд на GitHub и до 3,4 млн скачиваний в день.

Вирус проникал через заражённый сторонний пакет-зависимость. Макмахон заподозрил заражение после внезапного отключения компьютера при загрузке софта — ошибка в самом вредоносе спровоцировала сбой и тем самым выдала его присутствие. Макмахон и разработчик Андрей Карпатый пришли к выводу, что вирус был создан с помощью вайб-кодинга без должной проверки.

«Oh damn, I thought this WAS a joke… but no, LiteLLM *really* was "Secured by Delve" (the company that rubber stamped all of these audits, and seems to have been on the edge of fraudulent auditing, but useless for sure). And so unsurprisingly LiteLLM was compromised, badly» — Gergely Orosz (@GergelyOrosz), оригинальный пост

На сайте LiteLLM размещены сертификационные бейджи SOC2 и ISO 27001, выданные после аудита компанией Delve, которую ранее обвиняли в генерации фейковых данных для отчётов и использовании сомнительных аудиторов. Разработчикам LiteLLM удалось устранить угрозу спустя несколько часов. Расследование ведётся совместно с Mandiant.