Взлом CLI-версии Bitwarden, арест «черных» коллекторов в Киеве и другие события кибербезопасности - ForkLog: криптовалюты, ИИ, сингулярность, будущее

# Взлом CLI-версии Bitwarden, арест «черных» коллекторов в Киеве и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

• Северокорейские хакеры за три месяца похитили криптовалюту на $12 млн с помощью ИИ-инструментов.
• Бывший переговорщик с вымогателями оказался пособником.
• Британская разведка: 100 правительств стран мира имеют доступ к коммерческому шпионскому ПО.
• В менеджер паролей для разработчиков Bitwarden внедрили инфостилер.

Северокорейские хакеры за три месяца похитили криптовалюту на $12 млн с помощью ИИ-инструментов

За три месяца северокорейская хакерская группа HexagonalRodent похитила около $12 млн в криптовалюте и заразила более 2000 компьютеров Web3-разработчиков с целью кражи учетных данных и доступа к криптокошелькам. Об этом сообщил специалист кибербезопасности Expel Маркус Хатчинс.

Атака опиралась на метод вайб-кодинга — генерацию вредоносного ПО и инфраструктуры через текстовые запросы нейросетям:

• c помощью ИИ-инструментов веб-дизайна от Anima хакеры создавали сайты для несуществующих IT-компаний;
• жертв заманивали поддельными вакансиями и просили выполнить «тестовое задание», содержащее вредонос;
• весь код и переписка на безупречном английском языке генерировались с помощью ChatGPT и Cursor.

Фрагмент хакерского кода. Источник: Expel Эксперт проанализировал инфраструктуру хакеров, которую они по неосторожности оставили открытой. В сеть утекли их промпты и база данных с кошельками жертв. Хатчинс отметил, что написанный код был наполнен комментариями на английском и эмодзи — явный признак того, что ПО полностью сгенерировано LLM.

По мнению Хатчинса, в 2026 году Пхеньян совершил качественный скачок, используя ИИ для автоматизации каждого этапа кибератак, превратив низкоквалифицированных операторов в масштабную киберугрозу.

Деятельность HexagonalRodent — лишь часть глобальной стратегии КНДР по автоматизации преступлений, что подтверждают отчеты других технологических гигантов:

• Microsoft сообщила, что северокорейские операторы используют ИИ для генерации фальшивых документов, изучения уязвимостей и социальной инженерии;
• Anthropic заявила, что пресекла попытки агентов КНДР использовать модель Claude для доработки вирусов.

В комментариях WIRED представители OpenAI, Cursor и Anima подтвердили факты злоупотребления их сервисами. По их словам, связанные с хакерами аккаунты заблокированы, расследование поможет понять, как предотвратить подобные инциденты.

Бывший переговорщик с вымогателями оказался пособником

Анджело Мартино, в прошлом занимавшийся переговорами с вымогателями в компании по кибербезопасности DigitalMint, признал себя виновным в помощи киберпреступникам. Об этом сообщил Минюст США.

Мартино признался, что играл «на две стороны» в пяти различных инцидентах. Формально работая на пострадавших, он передавал конфиденциальную информацию операторам вредоносов ALPHV/BlackCat, а также снабжал хакеров данными вроде лимитов страховых полисов жертв и их стратегий ведения переговоров.

Следствие установило, что Мартино максимизировал для преступников выплаты, с которых получал свою долю

Группировка ALPHV/BlackCat действовала по модели CaaS, при которой банда создает и поддерживает ПО для шифрования файлов, а «партнеры» используют его в атаках и выплачивают разработчикам долю от прибыли.

В 2023 году правоохранители захватили сайт хакеров в даркнете и выпустили программу-дешифровщик, которая помогла более чем 500 жертвам восстановить системы.

В 2025 году той же группе злоумышленников помогали другие сотрудники DigitalMint — Кевин Тайлер Мартин и Райан Клиффорд Голдберг. Вместе с Мартино они заработали более $1,2 млн только на одном из пострадавших

Мартино признал вину в вымогательстве, ему грозит до 20 лет тюремного заключения. Власти изъяли у него активы на сумму $10 млн.

Британская разведка: 100 правительств стран мира имеют доступ к коммерческому шпионскому ПО

Согласно данным британской разведки, более половины правительств стран мира имеют доступ к софту, способному взламывать устройства для кражи конфиденциальной информации. Об этом сообщает Politico.

Согласно СМИ, барьер для доступа к технологиям слежки такого типа снизился. Также зафиксирован рост числа стран, потенциально владеющих подобными инструментами взлома: теперь их 100, а не 80, как было известно в 2023 году.

Коммерческое шпионское ПО, разработанное частными компаниями вроде Pegasus от NSO Group, зачастую полагается на использование уязвимостей в ПО телефонов и компьютеров. Хотя правительства заявляют, что эти инструменты применяются только к устройствам подозреваемых в особо опасных преступлениях, включая терроризм.

По данным британской разведки, в последние годы «круг жертв» расширился с политических критиков, оппонентов и журналистов до банкиров и состоятельных бизнесменов.

В США ICE активно использует израильское ПО Graphite. Исполняющий обязанности директора агентства Тодд Лайонс подтвердил эту информацию изданию NPR.

По его словам, правоохранители применяют софт для борьбы с иностранными террористическими организациями и торговцами фентанилом, использующими зашифрованные мессенджеры. ПО позволяет получать доступ к сообщениям на телефоне без необходимости кликать по ссылкам (zero-click).

В менеджер паролей для разработчиков Bitwarden внедрили инфостилер

22 апреля 2026 года официальный npm-пакет интерфейса командной строки (CLI) менеджера паролей Bitwarden версии 2026.4.0 был скомпрометирован. В репозитории находилась версия, содержащая вредоносный код для кражи учетных данных разработчиков.

Сразу несколько компаний в сфере безопасности проанализировали цепочку заражения и дали оценку инциденту:

• эксперты JFrog выяснили, что пакет использовал кастомный загрузчик bw_setup.js для незаметного запуска скрипта-шпиона. Вирус собирал токены npm и GitHub, SSH-ключи, а также доступы от AWS, Azure и Google Cloud;
• в OX Security обнаружили, что зашифрованные украденные данные выгружались путем автоматического создания публичных репозиториев на GitHub жертвы. Репозитории помечались строкой Shai-Hulud: The Third Coming, а вирус умел самораспространяться;
• Socket подтвердила, что цель вируса — инфраструктура CI/CD. Также они установили техническую связь этого инцидента с недавним компрометированием цепочки поставок компании Checkmarx.

Атаку приписывают хакерской группировке TeamPCP, которая ранее уже проводила масштабные кампании против разработчиков проектов Trivy и LiteLLM. Эксперты настоятельно рекомендовали разработчикам немедленно сменить все ключи и токены, если они взаимодействовали с затронутым CLI.

Компания Bitwarden оперативно удалила зараженную версию всего через полтора часа после начала атаки и подтвердила сохранность пользовательских хранилищ и паролей.

Apple исправила баг, который позволил ФБР прочитать удаленные сообщения Signal

Apple выпустила исправление и рекомендации по безопасности после того, как ФБР получило доступ к содержимому уведомлений мессенджера Signal через iOS, несмотря на то, что само приложение было удалено.

We are very happy that today Apple issued a patch and a security advisory. This comes following @404mediaco reporting that the FBI accessed Signal message notification content via iOS despite the app being deleted.

Apple’s advisory confirmed that the bugs that allowed this to…

— Signal (@signalapp) April 22, 2026

В Signal сообщили, что после установки обновления все непреднамеренно сохраненные уведомления удалятся, а новые сохраняться не будут.

В Киеве задержали банду коллекторов, вымогавших криптовалюту при помощи ботоферм

В Киеве правоохранители задержали мошенников, которые использовали площадки Bitcapital и Crypsee для предоставления займов в криптовалюте. Должников и их близких подвергали травле с помощью сгенерированного оскорбительного контента и ботофермы на 6000 сим-карт, сообщает Киберполиция Украины.

По данным следствия, участники группы организовали в Днепре колл-центр, они действовали с 2023 года под прикрытием компаний, зарегистрированных в Великобритании и на Кипре.

Операторы звонили должникам и, используя фейковые данные и программы для изменения голоса, требовали возврата средств. Если клиенты вовремя закрывали займы, злоумышленники выдумывали несуществующие долги. В дальнейшем шантажом и угрозами они вымогали деньги.

Ботоферма привлекалась для генерации и распространения унизительного контента с использованием данных и фотографий потерпевших, их родственников и коллег, а также для систематических телефонных звонков с угрозами.

Источник: Киберполиция Украины.Одновременно над жертвой могла «работать» отдельная группа из двух-шести человек, которые применяли разные подходы, подстраиваясь под индивидуальные уязвимости потерпевших. В случае успеха каждый из них получал процент от перечисленной пострадавшим суммы.

Полицейские провели 44 обыска в Днепропетровской области и Киеве. Изъято более 80 мобильных телефонов, компьютерная техника, наличные, документы, печати и ботофермы.

По предварительным данным, сумма нанесенного ущерба превысила 5 млн гривен (около $113 000 по курсу на момент написания). Подозреваемым грозит до 12 лет тюрьмы.

Также на ForkLog:

• Tether заблокировала USDT на $344 млн по запросу США.
• В Великобритании прошли рейды по борьбе с незаконной P2P-торговлей криптовалютами.
• Эксперты по кибербезопасности предупредили о новой волне атак хакеров из КНДР.
• В Bloomberg узнали о несанкционированном доступе к ИИ-модели Mythos.
• Хакеры атаковали Volo и вывели $3,5 млн из пулов WBTC и USDC.
• Журналисты узнали о новой схеме вымогательства биткоина за проход через Ормузский пролив.
• Arbitrum заморозил 30 000 ETH в рамках расследования взлома Kelp.
• Eth.limo восстановила контроль над доменом после взлома easyDNS.
• Протокол Kelp лишился $293 млн после атаки на кроссчейн-мост.

Что почитать на выходных?

Долгое время использование кибероружия для шпионажа считалось прерогативой узкого круга спецслужб. Однако расследование властей США в отношении Operation Zero раскрыло масштаб торговли уязвимостями нулевого дня.

Про теневые рынки государств и стоимость взломов — в новом материале ForkLog.