Взлом CLI-версії Bitwarden, арешт «чорних» колекторів у Києві та інші події кібербезпеки - ForkLog: криптовалюти, ШІ, сингулярність, майбутнє

# Взлом CLI-версії Bitwarden, арешт «чорних» колекторів у Києві та інші події у сфері кібербезпеки

Ми зібрали найважливіші новини з світу кібербезпеки за тиждень.

• Північнокорейські хакери за три місяці викрали криптовалюту на $12 млн за допомогою інструментів ШІ.
• Колишній переговорник з вимогателями виявився пособником.
• Британська розвідка: 100 урядів країн світу мають доступ до комерційного шпигунського ПЗ.
• У менеджер паролів для розробників Bitwarden впровадили інфостилер.

Північнокорейські хакери за три місяці викрали криптовалюту на $12 млн за допомогою інструментів ШІ

За три місяці північнокорейська хакерська група HexagonalRodent викрала близько $12 млн у криптовалюті та заразила понад 2000 комп’ютерів Web3-розробників з метою крадіжки облікових даних і доступу до криптогаманців. Про це повідомив фахівець з кібербезпеки Expel Маркус Хатчинс.

Атака базувалася на методі вайб-кодингу — генерації шкідливого ПЗ та інфраструктури через текстові запити нейромережам:

• за допомогою інструментів ШІ для веб-дизайну від Anima хакери створювали сайти для неіснуючих ІТ-компаній;
• жертв заманювали підробленими вакансіями та просили виконати «тестове завдання», що містило шкідливий код;
• весь код і переписка на бездоганній англійській мові генерувалися за допомогою ChatGPT і Cursor.

Фрагмент хакерського коду. Джерело: Expel Експерт проаналізував інфраструктуру хакерів, яку вони з необережності залишили відкритою. У мережу потрапили їхні промпти та база даних із гаманцями жертв. Хатчинс зазначив, що написаний код був наповнений коментарями англійською та емодзі — явний ознака того, що ПЗ повністю згенероване LLM.

На думку Хатчинса, у 2026 році Пхеньян зробив якісний стрибок, використовуючи ШІ для автоматизації кожного етапу кібератак, перетворивши низькваліфікованих операторів у масштабну кіберзагрозу.

Діяльність HexagonalRodent — лише частина глобальної стратегії КНДР щодо автоматизації злочинів, що підтверджують звіти інших технологічних гігантів:

• Microsoft повідомила, що північнокорейські оператори використовують ШІ для генерації фальшивих документів, вивчення уразливостей і соціальної інженерії;
• Anthropic заявила, що зупинила спроби агентів КНДР використовувати модель Claude для доопрацювання вірусів.

У коментарях WIRED представники OpenAI, Cursor і Anima підтвердили факти зловживання їхніми сервісами. За їх словами, пов’язані з хакерами акаунти заблоковані, розслідування допоможе зрозуміти, як запобігти подібним інцидентам.

Колишній переговорник з вимогателями виявився пособником

Анджело Мартино, раніше який займався переговорами з вимогателями у компанії з кібербезпеки DigitalMint, визнав себе винним у допомозі кіберзлочинцям. Про це повідомила Мін’юст США.

Мартино зізнався, що грав «на дві сторони» у п’яти різних інцидентах. Формально працюючи на постраждалих, він передавав конфіденційну інформацію операторам шкідливих програм ALPHV/BlackCat, а також постачав хакерам дані, зокрема ліміти страхових полісів жертв і їхні стратегії ведення переговорів.

Розслідування встановило, що Мартино максимізував для злочинців виплати, з яких отримував свою частку.

Група ALPHV/BlackCat діяла за моделлю CaaS, при якій банда створює і підтримує ПЗ для шифрування файлів, а «партнери» використовують його в атаках і виплачують розробникам частку від прибутку.

У 2023 році правоохоронці захопили сайт хакерів у даркнеті та випустили програму-дешифратор, яка допомогла понад 500 жертвам відновити системи.

У 2025 році цій же групі зловмисників допомагали інші співробітники DigitalMint — Кевін Тайлер Мартін і Райан Кліффорд Гольдберг. Разом із Мартино вони заробили понад $1,2 млн лише на одному з постраждалих.

Мартино визнав провину у вимаганні викупу, йому загрожує до 20 років позбавлення волі. Влада конфіскувала у нього активи на суму $10 млн.

Британська розвідка: 100 урядів країн світу мають доступ до комерційного шпигунського ПЗ

Згідно з даними британської розвідки, понад половина урядів країн світу мають доступ до софту, здатного зламувати пристрої для крадіжки конфіденційної інформації. Про це повідомляє Politico.

Згідно з ЗМІ, бар’єр для доступу до технологій стеження такого типу знизився. Також зафіксовано зростання кількості країн, потенційно володіючих подібними інструментами злома: тепер їх 100, а не 80, як було відомо у 2023 році.

Комерційне шпигунське ПЗ, розроблене приватними компаніями на кшталт Pegasus від NSO Group, часто базується на використанні уразливостей у ПЗ телефонів і комп’ютерів. Хоча уряди заявляють, що ці інструменти застосовуються лише до пристроїв підозрюваних у особливо небезпечних злочинах, включно з тероризмом.

За даними британської розвідки, у останні роки «коло жертв» розширився з політичних критиків, опонентів і журналістів до банкірів і заможних бізнесменів.

У США ICE активно використовує ізраїльське ПЗ Graphite. Виконувач обов’язків директора агентства Тодд Лайонс підтвердив цю інформацію виданню NPR.

За його словами, правоохоронці застосовують софт для боротьби з іноземними терористичними організаціями і торговцями фентанілом, що використовують зашифровані месенджери. ПЗ дозволяє отримувати доступ до повідомлень на телефоні без необхідності натискати посилання (zero-click).

У менеджер паролів для розробників Bitwarden впровадили інфостилер

22 квітня 2026 року офіційний npm-пакет інтерфейсу командного рядка (CLI) менеджера паролів Bitwarden версії 2026.4.0 був скомпрометований. У репозиторії знаходилася версія, що містила шкідливий код для крадіжки облікових даних розробників.

Одразу кілька компаній у сфері безпеки проаналізували ланцюжок зараження і дали оцінку інциденту:

• експерти JFrog з’ясували, що пакет використовував кастомний завантажувач bw_setup.js для непомітного запуску шпіонського скрипта. Вірус збирав токени npm і GitHub, SSH-ключі, а також доступи до AWS, Azure і Google Cloud;
• у OX Security виявили, що зашифровані викрадені дані завантажувалися шляхом автоматичного створення публічних репозиторіїв на GitHub жертви. Репозиторії позначалися рядком Shai-Hulud: The Third Coming, а вірус умів саморозповсюджуватися;
• Socket підтвердила, що ціль вірусу — інфраструктура CI/CD. Також вони встановили технічний зв’язок цього інциденту з недавнім компрометуванням ланцюжка поставок компанії Checkmarx.

Атаку приписують хакерській групі TeamPCP, яка раніше вже проводила масштабні кампанії проти розробників проектів Trivy і LiteLLM. Експерти настійно рекомендували розробникам негайно змінити всі ключі і токени, якщо вони взаємодіяли з ураженим CLI.

Компанія Bitwarden оперативно видалила заражену версію всього через півтора години після початку атаки і підтвердила збереження користувацьких сховищ і паролів.

Apple виправила баг, який дозволив ФБР прочитати видалені повідомлення Signal

Apple випустила виправлення і рекомендації з безпеки після того, як ФБР отримало доступ до змісту повідомлень месенджера Signal через iOS, незважаючи на те, що сама програма була видалена.

Ми дуже раді, що сьогодні Apple випустила патч і рекомендацію з безпеки. Це сталося після повідомлення @404mediaco про те, що ФБР отримало доступ до змісту повідомлень Signal через iOS, хоча додаток був видалений.

У рекомендації Apple підтверджено, що баги, які дозволили це…

— Signal (@signalapp) 22 квітня 2026

У Signal повідомили, що після встановлення оновлення всі непередбачено збережені повідомлення будуть видалені, а нові — не зберігатимуться.

У Києві затримали банду колекторів, які вимагали криптовалюту за допомогою ботоферм

У Києві правоохоронці затримали шахраїв, які використовували майданчики Bitcapital і Crypsee для надання позик у криптовалюті. Боржників і їхніх близьких піддавали залякуванням за допомогою згенерованого образливого контенту та ботоферми на 6000 SIM-карт, повідомляє Кіберполіція України.

За даними слідства, учасники групи організували у Дніпрі колл-центр, вони діяли з 2023 року під прикриттям компаній, зареєстрованих у Великій Британії та на Кіпрі.

Оператори телефонували боржникам і, використовуючи фейкові дані та програми для зміни голосу, вимагали повернення коштів. Якщо клієнти вчасно закривали позики, зловмисники вигадували неіснуючі борги. Надалі шантажем і погрозами вони вимагали гроші.

Ботоферма залучалася для генерації і поширення принизливого контенту з використанням даних і фотографій потерпілих, їхніх родичів і колег, а також для систематичних телефонних дзвінків із погрозами.

Джерело: Кіберполіція України. Одночасно над жертвою могла «працювати» окрема група з двох-шести осіб, які застосовували різні підходи, підлаштовуючись під індивідуальні вразливості потерпілих. У разі успіху кожен із них отримував відсоток від перерахованої потерпілим суми.

Поліція провела 44 обшуки у Дніпропетровській області та Києві. Зібрано понад 80 мобільних телефонів, комп’ютерної техніки, готівки, документів, печаток і ботоферм.

За попередніми даними, сума завданого збитку перевищила 5 млн гривень (близько $113 000 за курсом на момент написання). Підозрюваним загрожує до 12 років позбавлення волі.

Також на ForkLog:

• Tether заблокувала USDT на $344 млн за запитом США.
• У Великій Британії пройшли рейди з боротьби з незаконною P2P-торгівлею криптовалютами.
• Експерти з кібербезпеки попередили про нову хвилю атак хакерів із КНДР.
• У Bloomberg дізналися про несанкціонований доступ до ІІ-моделі Mythos.
• Хакери атакували Volo і вивели $3,5 млн із пулів WBTC і USDC.
• Журналісти дізналися про нову схему вимагання біткоїна за проходження через Ормузький пролив.
• Arbitrum заморозив 30 000 ETH у рамках розслідування злома Kelp.
• Eth.limo відновила контроль над доменом після злома easyDNS.
• Протокол Kelp втратив $293 млн після атаки на кросчейн-мост.

Що почитати на вихідних?

Довгий час використання кіберзброї для шпигунства вважалося прерогативою вузького кола спецслужб. Однак розслідування влад США щодо Operation Zero розкрили масштаб торгівлі уразливостями нульового дня.

Про тіньові ринки держав і вартість зломів — у новому матеріалі ForkLog.