Журнал "Information Security/ Информационная безопасность" #6, 2025

Зависимость от сторонних пакетов в крипторазработке В последнее время инструменты для разработки криптопроектов и экосистема Open Source оказались в зоне повышен- ного внимания и риска, что подтвержда- ется серией инцидентов в 2025 г. Как правило, уязвимости в этой области связаны с двумя ключевыми факторами: открытой природой исходного кода и высокой зависимостью разработчиков от сторонних пакетов. Злоумышленники чаще всего исполь- зуют фейковые версии популярных биб- лиотек и IDE-плагины (расширения для среды разработки), чтобы распростра- нять вредоносное ПО. Примером подоб- ной атаки может служить кража данных у разработчика, работавшего в Cursor AI IDE с поддержкой Open VSX (открытый каталог плагинов) 2 . В этом случае с помо- щью поддельного расширения Solidity Language (которое выглядело как обыч- ная подсветка синтаксиса, но на самом деле запускало скрипт, устанавливаю- щий несколько вредоносов вроде ScreenConnect, Quasar RAT и инфости- лер PureLogs) преступники получили полный доступ к устройству и похитили более $500 тыс. в криптовалюте. Другими примерами атаки на цепочку поставок в области разработки могут служить инциденты в RubyGems и npm – сервисах для скачивания библиотек 3 . Вместо IDE-плагинов злоумышленники распространили поддельные пакеты, которые перехватывали данные Telegram API, включая токены и сообщения, и передавали их на внешние серверы. Такие пакеты устанавливались как обыч- ные зависимости, обеспечивая злоумыш- ленникам доступ к ключам и учетным данным, что в итоге приводило к финан- совым потерям. Системная проблема заключается в доверии. Разработчики зачастую уста- навливают пакеты, ориентируясь на популярность или рейтинг, но не прове- ряют код глубже. Злоумышленники, в свою очередь, используют это и умело скрывают вредоносные компоненты в цепочках зависимостей, создавая види- мость легитимности через манипуляцию метаданными и статистикой загрузок. Инструменты разработки против разработчиков На практике вредоносный код чаще всего маскируют под широко исполь- зуемые инструменты, к которым разра- ботчики уже испытывают доверие: крип- товалютные библиотеки, генераторы кошельков, утилиты для ботов и скрипты для автоматизации. Характерный пример – npm-пакет nodejs-smtp, выполненный в стиле биб- лиотеки nodemailer для отправки писем, – модифицировал архивы десктопных кошельков Atomic Wallet и Exodus, неза- метно подменяя адреса получателей криптовалюты на адрес злоумышленни- ка. При этом кошелек оставался пол- ностью рабочим, что делало атаку прак- тически невидимой для пользователя до момента отправки средств. Встречаются инциденты, связанные с генераторами криптографических клю- чей и сидов для кошельков. Алгоритмы с недостаточной энтропией, вроде Mersenne Twister-32, позволяли злоумыш- ленникам предугадывать приватные ключи и похищать средства пользовате- лей. Несмотря на риски с предсказуе- мостью генераторов, их все еще исполь- зуют по причине удобства и из-за недо- статочного опыта разработчиков. Наибольший риск представляют инструменты, работающие с конфиден- циальными данными и финансами. Защититься от атак на Open Source- проекты можно с помощью безопасного подхода на всех этапах разработки и экс- плуатации. Однако важно понимать, какие именно механизмы позволяют вредоносному коду оставаться незамет- ным внутри этих инструментов. Замаскированное вредоносное ПО Основная опасность такого ПО заклю- чается в техниках маскировки, которые позволяют злоумышленникам получать доступ к критически важной информации. l Обфускация и шифрование кода. Раз- работчики используют сложные методы, чтобы обходить антивирусные системы. Например, шифрование кода позволяет программе оставаться невидимой для традиционных методов обнаружения, основанных на сигнатурах. l Полиморфизм. Программа способна менять свои алгоритмы шифрования и структуру кода при каждой новой инсталляции, сохраняя функциональ- ность, но практически полностью исклю- чая возможность распознавания антиви- русом. Это делает заражение еще более опасным, так как вредоносное ПО может работать на устройстве долгое время, незаметно собирая пароли, логины, дан- ные банковских карт, а также файлы с конфиденциальной информацией. 56 • ТЕХНОЛОГИИ Как инструменты разработки становятся средствами для кражи криптоактивов оличество атак на цепочку поставок программного обеспечения в прошлом году выросло на 156% по сравнению с годом ранее, по данным исследования Sonatype 1 . Разберемся, как эта угроза проявляет себя в мире криптовалют, и почему привычные инструменты разработчика становятся орудием злоумышленников. К Дмитрий Пойда, аналитик по расследованиям AML/KYT провайдера “Шард” Фото: Шард 1 https://www.sonatype.com/press-releases/sonatypes-10th-annual-state-of-the-software-supply-chain-report 2 https://securelist.com/open-source-package-for-cursor-ai-turned-into-a-crypto-heist/116908/ 3 https://www.csoonline.com/article/4002437/supply-chain-attack-hits-rubygems-to-steal-telegram-api-data.html?utm_source=chatgpt.com