Kiedy rozpoczęła się ta kampania złośliwego oprogramowania?

Kampania złośliwego oprogramowania jest aktywna od czerwca 2025 roku. Od momentu rozpoczęcia skompromitowała już ponad 90 hostów.

Jaki typ pliku jest używany do dostarczania złośliwego oprogramowania?

Złośliwe oprogramowanie jest dostarczane za pośrednictwem plików instalatorów MSI, które są standardowym formatem pakietów Windows używanym przez wielu legalnych dostawców oprogramowania.

Co robi złośliwe oprogramowanie po zainfekowaniu systemu?

Złośliwe oprogramowanie wdraża zestaw trzech modułów, który przeprowadza rozpoznanie systemu, aktywuje keylogger do przechwytywania poświadczeń i kodów 2FA oraz kradnie przechowywane w przeglądarce hasła, ciasteczka sesji i dane autouzupełniania.

Dlaczego hardkodowanie poświadczeń SSH i tokenów GitLab wewnątrz instalatora jest uważane za zagrożenie bezpieczeństwa?

Hardkodowane poświadczenia osadzone w plikach instalatora są czytelne dla każdego, kto zbada plik binarny, co może ujawnić obrońcom i śledczym serwery dowodzenia i kontroli atakujących oraz repozytoria kodu.

Czy używanie sprzętowego portfela wystarczy do ochrony przed tego typu atakiem?

Zgodnie z artykułem, samo poleganie na sprzętowym portfelu nie jest wystarczającą ochroną przed tą kampanią, ponieważ złośliwe oprogramowanie celuje w poświadczenia, ciasteczka sesji i naciśnięcia klawiszy, które mogą obejść uwierzytelnianie bez konieczności bezpośredniego dostępu do portfela.

Złośliwe oprogramowanie w instalatorach MSI atakuje traderów kryptowalut od czerwca 2025 roku

Wyrafinowana kampania złośliwego oprogramowania wymierzona w traderów kryptowalut działa po cichu od czerwca 2025 roku, wykorzystując pozornie prosty, lecz skuteczny trik: hardkodowanie poświadczeń SSH i tokenów GitLab bezpośrednio wewnątrz plików instalatorów MSI. Operacja skompromitowała już ponad 90 hostów i jest specjalnie zaprojektowana do przejmowania kont do handlu kryptowalutami poprzez połączenie rozpoznania systemowego, keyloggingu i kradzieży danych z przeglądarki w jeden skoordynowany łańcuch ataków. Dla każdego, kto przechowuje lub aktywnie handluje cyfrowymi aktywami, mechanika tej kampanii ujawnia, dlaczego samo poleganie na sprzętowym portfelu nie jest wystarczającą ochroną.

Jak działa kampania z instalatorem MSI: rozpoznanie, keylogging i kradzież z przeglądarki

Atak rozpoczyna się w momencie, gdy ofiara uruchamia pozornie legalny instalator MSI — standardowy format pakietów Windows używany przez niezliczonych dostawców oprogramowania. Po uruchomieniu instalator wdraża zestaw złośliwego oprogramowania składający się z trzech modułów, działających sekwencyjnie.

Pierwszy moduł przeprowadza rozpoznanie systemu, mapując konfigurację zainfekowanego hosta, środowisko sieciowe oraz zainstalowane oprogramowanie. Ten etap daje atakującemu wyraźny obraz tego, z czym ma do czynienia, zanim zdecyduje się na głębszą infiltrację. Drugi moduł aktywuje keylogger, rejestrując wszystko, co ofiara wpisuje — w tym dane logowania do giełd, kody uwierzytelniania dwuskładnikowego i hasła do portfeli. Trzeci moduł celuje w dane przechowywane w przeglądarce, wyodrębniając zapisane hasła, ciasteczka sesji i wpisy autouzupełniania, które mogą być używane do obejścia uwierzytelniania na platformach finansowych bez konieczności bezpośredniego znajomości hasła do konta.

Takie połączenie jest zamierzone. Keylogging przechwytuje poświadczenia w ruchu; kradzież z przeglądarki przechwytuje poświadczenia w spoczynku. Razem pozostawiają bardzo niewiele luk.

Dlaczego hardkodowane poświadczenia stanowią systemowe ryzyko

To, co sprawia, że ta kampania jest szczególnie godna uwagi z perspektywy badań bezpieczeństwa, to nie tylko to, co robi ofiarom, ale to, co ujawnia o samych atakujących. Osadzenie hardkodowanych poświadczeń SSH i tokenów GitLab wewnątrz instalatora oznacza, że złośliwe oprogramowanie niesie ze sobą bezpośrednie, statyczne połączenie z własną infrastrukturą backendową.

Jest to błąd w zakresie bezpieczeństwa operacyjnego po stronie atakującego i nie jest on unikalny dla tej grupy. Kiedy programiści — niezależnie od tego, czy tworzą legalne oprogramowanie, czy złośliwe narzędzia — hardkodują tokeny uwierzytelniające do skompilowanych lub spakowanych plików, te poświadczenia stają się czytelne dla każdego, kto zbada plik binarny. Dla obrońców hardkodowane poświadczenia w złośliwym oprogramowaniu mogą ujawnić serwery dowodzenia i kontroli, repozytoria kodu, a nawet wewnętrzny przepływ pracy nad rozwojem aktora zagrożeń. Dla ofiar ta sama wada, która może pomóc śledczym w namierzeniu atakujących, nie oferuje żadnej ochrony po tym, jak kompromis już nastąpił.

Ten wzorzec odzwierciedla szersze trendy w złośliwym oprogramowaniu atakującym chmurę. Jak opisano w artykule o złośliwym oprogramowaniu PCPJack wykorzystującym poświadczenia chmury, frameworki do kradzieży poświadczeń coraz częściej traktują nieprawidłowo zabezpieczone tokeny jako łatwy cel — niezależnie od tego, czy tokeny te należą do ofiar, czy, jak w tym przypadku, do samych atakujących.

Kto jest celem ataku i jak traderzy kryptowalut są wyodrębniani

Skupienie się kampanii na traderach kryptowalut nie jest przypadkowe. Konta kryptowalutowe stanowią wyjątkowo atrakcyjny profil celu: często przechowują znaczną płynną wartość, transakcje są nieodwracalne po emisji do blockchaina, a wielu traderów jednocześnie korzysta z interfejsów przeglądarkowych do zarządzania pozycjami na wielu giełdach.

Ten ostatni punkt jest kluczowy. Handel oparty na przeglądarce oznacza, że sesje przechowywane w przeglądarce, ciasteczka i zapisane poświadczenia stanowią bezpośrednią drogę dostępu do konta. Atakujący, który przechwytuje ważne ciasteczko sesji z przeglądarki, może często uwierzytelnić się na giełdzie bez wyzwalania monitów o hasło lub uwierzytelnianie dwuskładnikowe, ponieważ sama sesja jest już uwierzytelniona. Komponent keyloggera obejmuje następnie każdy scenariusz, w którym trader wylogowuje się i ponownie loguje, przechwytując nowe poświadczenia w czasie rzeczywistym.

Przy ponad 90 już potwierdzonych skompromitowanych hostach skala kampanii sugeruje ukierunkowaną, lecz wytrwałą operację, a nie podejście oparte na masowym ataku. Traderzy, którzy pobrali oprogramowanie z nieoficjalnych lub niezweryfikowanych źródeł od czerwca 2025 roku, są najbardziej zagrożeni.

Jak VPN-y, menedżery poświadczeń i higiena przeglądarki zmniejszają powierzchnię ataku

Żadne pojedyncze narzędzie nie eliminuje ryzyka, które ta kampania reprezentuje, ale kilka praktyk znacząco zmniejsza ekspozycję.

VPN nie zapobiega wykonaniu złośliwego oprogramowania, gdy jest już na maszynie, ale zmniejsza ryzyko przechwycenia ruchu i może ograniczyć widoczność na poziomie sieci, którą atakujący uzyskuje podczas fazy rozpoznania. Co ważniejsze, konsekwentne korzystanie z VPN na wszystkich urządzeniach pomaga ustanowić higienę sieciową jako nawyk, a nie refleksję po fakcie.

Menedżery poświadczeń rozwiązują jeden z głównych wektorów ataku tutaj: hasła przechowywane w przeglądarce. Gdy poświadczenia są przechowywane w dedykowanym, zaszyfrowanym menedżerze, a nie w natywnym magazynie haseł przeglądarki, kradzież danych z przeglądarki przynosi znacznie mniej przydatnych informacji. Większość menedżerów poświadczeń obsługuje również generowanie unikalnych, złożonych haseł dla każdego konta, co ogranicza zasięg szkód, jeśli jeden zestaw poświadczeń zostanie przechwycony.

Higiena przeglądarki również ma znaczenie. Traderzy powinni rozważyć używanie dedykowanego profilu przeglądarki — lub całkowicie oddzielnej przeglądarki — wyłącznie do dostępu do giełdy. Ten profil nie powinien zawierać zapisanych haseł, żadnych rozszerzeń poza absolutnie niezbędnymi i powinien być czyszczony z ciasteczek po każdej sesji. Ciasteczek sesji nie można ukraść z sesji, która już nie istnieje.

Wreszcie dyscyplina instalacji oprogramowania jest pierwszą linią obrony. Pliki MSI pozyskane poza oficjalnymi witrynami dostawców lub sklepami z aplikacjami niosą ze sobą realne ryzyko. Weryfikacja skrótów plików, sprawdzanie podpisów wydawcy i traktowanie każdego instalatora wymagającego wyłączenia oprogramowania zabezpieczającego jako natychmiastowej czerwonej flagi może zapobiec początkowemu uruchomieniu, które umożliwia wszystko inne.

Co to oznacza dla Ciebie

Jeśli aktywnie handlujesz kryptowalutami lub przechowujesz cyfrowe aktywa dostępne za pośrednictwem interfejsu przeglądarkowego, ta kampania jest bezpośrednim ostrzeżeniem. Sprzętowe portfele chronią środki on-chain, ale nie chronią kont giełdowych — a właśnie tam to złośliwe oprogramowanie jest zaprojektowane do wyrządzania szkód.

Zacznij od audytu tego, gdzie aktualnie przechowywane są Twoje poświadczenia. Jeśli hasła do giełdy są zapisane w przeglądarce, przenieś je do dedykowanego menedżera poświadczeń i wygeneruj nowe, unikalne hasła dla każdej platformy. Przejrzyj rozszerzenia przeglądarki i usuń wszystko, czego aktywnie nie używasz. Sprawdź historię pobierania pod kątem wszelkich instalatorów MSI pozyskanych od czerwca 2025 roku ze źródeł, których nie możesz zweryfikować.

Rosnące wyrafinowanie operacji kradzieży poświadczeń — od kampanii z hardkodowanymi tokenami opisanych tutaj po wielokrotne wykorzystywanie CVE udokumentowane w frameworkach atakujących chmurę — sprawia, że proaktywna higiena poświadczeń jest jedną z najskuteczniejszych dostępnych ochrony dla indywidualnych użytkowników. Poświęcenie godziny na audyt swojej konfiguracji dzisiaj jest znacznie mniej bolesne niż odzyskiwanie kontroli nad przejętym kontem jutro.