Інфостилер у фейковому репозиторії OpenAI, шантаж Mistral AI та інші події кібербезпеки - ForkLog: криптовалюти, ШІ, сингулярність, майбутнє

# Інфостилер у фейковому репозиторії OpenAI, шантаж Mistral AI та інші події у сфері кібербезпеки

Ми зібрали найважливіші новини зі світу кібербезпеки за тиждень.

• ZachXBT розкрив особу організатора фішингових атак на $19 млн.
• Трьох підозрюваних звинуватили у серії «атак з гайковим ключем» у Каліфорнії.
• Фейковий репозиторій OpenAI поширював інфостилер.
• «ІІ-мусор» заполонив платформи для хакерів і кібершахраїв.

ZachXBT розкрив особу організатора фішингових атак на $19 млн

Ончейн-дослідник ZachXBT розкрив деталі розслідування крадіжки криптовалюти за допомогою фішингу на суму понад $19 млн

1/ Знайомтесь, Dritan Kapllani Jr, американський загрозливий актор, пов’язаний з $19M , що займається соціальною інженерією та крадіжками у крипто-володарів.

Dritan показує розкішні автомобілі, годинники, приватні літаки та клуби у соцмережах.

Нещодавно його зафіксували під час дзвінка, де він хизувався гаманцем із вкраденими коштами. pic.twitter.com/iDKyUjUm4M

— ZachXBT (@zachxbt) 12 травня 2026

Головним підозрюваним став американський хакер Дритан Каплани — молодший. Відправною точкою для деанонімізації зловмисника стала його власна необережність.

23 квітня 2026 року під час відеодзвінка у Discord Каплани посварився з одним із користувачів щодо розмірів капіталу (band 4 band). Як доказ він показав екран свого криптогаманця Exodus із балансом у $3,68 млн.

ZachXBT проаналізував ланцюг транзакцій Ethereum-адреси. Виявилося, що кошти пов’язані з крадіжкою 185 BTC, що сталася 14 березня 2026 року. Дослідження показало, що 15 березня на гаманець Каплани надійшла його частка — $5,3 млн. До моменту відеодзвінка у квітні хакер уже витратив або відмив близько $1,6 млн.

Під час розслідування детектив також виявив зв’язок Каплани з раніше трапленими інцидентами. У цьому допоміг кіберзлочинець Джон Дагіта, раніше арештований за крадіжку понад $40 млн у уряду США. У помсті за минулі конфлікти він опублікував у Telegram один із старих адрес Каплани.

ZachXBT підтвердив його належність: алгоритм виведення коштів повністю співпадав із тим, що використовувався при крадіжці 185 BTC. Також вдалося з’ясувати, що восени 2025 року через цей гаманець пройшло понад $5,85 млн, викрадених унаслідок п’яти фішингових атак.

Експерт допомагав одній із постраждалих сторін у розслідуванні, але навмисно не публікував свої висновки до офіційних дій влади.

11 травня 2026 року були розсекречені судові матеріали щодо справи про крадіжку 185 BTC

Обвинувачення вже пред’явлені:

• Трентону Джонсону — за безпосередню участь у крадіжці. Йому загрожує до 40 років позбавлення волі;
• криптоінфлюенсеру під ніком yelotree — за допомогу у відмиванні коштів через бізнес з оренди автомобілів у Майамі (до 30 років ув’язнення).

Каплани веде публічний і розкішний спосіб життя, демонструючи у соцмережах приватні літаки та дорогі автомобілі. Довгий час йому вдавалося уникати арештів — детектив пов’язує цю «неуразливість» із звичайною практикою відкладання судових переслідувань неповнолітніх. Оскільки Каплани нещодавно виповнилося 18 років, ZachXBT припускає, що найближчим часом йому пред’являть обвинувачення.

Трьох підозрюваних звинуватили у серії «атак з гайковим ключем» у Каліфорнії

Прокуратура США пред’явила Елайджі Армстронгу, Ніно Чиндавану і Джейдену Ракеру обвинувачення у пограбуванні, викраденні та змові у зв’язку з серією крадіжок криптовалюти

Згідно з матеріалами справи, фігуранти переїхали з Теннесі до Каліфорнії. Щоб проникнути до домівок жертв, зловмисники видавали себе за кур’єрів.

У листопаді 2025 року у Сан-Франциско «кур’єр» із коробкою в руках напав на замовника біля входу до квартири. Постраждалого зв’язали скотчем, побили рукояткою пістолета і погрозами змусили переказати $10 млн у біткоїнах і $3 млн в Ethereum.

В іншому інциденті «атака з гайковим ключем» (wrench attack) жертва втратила криптовалюту на суму $6,5 млн.

Армстронг і Ракер арештовані у Лос-Анджелесі 31 грудня 2025 року, а Чиндаван — у Саннівейлі 22 грудня 2025 року. Їм загрожують:

• до 20 років позбавлення волі за пограбування і спробу викрадення;
• довічне ув’язнення за змову з метою викрадення;
• штрафи у розмірі $250 000 за кожним пунктом обвинувачення.

За даними CertiK, у 2025 році зафіксовано 72 випадки «атак з гайковим ключем» по всьому світу, що на 75% більше, ніж у попередньому році. Загальні збитки від таких злочинів сягнули рекордних $41 млн.

Фейковий репозиторій OpenAI поширював інфостилер

Шкідливий репозиторій на Hugging Face імітував проект Privacy Filter від OpenAI для доставки інфостилера. Про це повідомили дослідники HiddenLayer.

Платформа Hugging Face дозволяє розробникам і дослідникам обмінюватися ІІ-моделями, наборами даних і інструментами машинного навчання.

За даними експертів, шахраї використовували схоже написання у репозиторії Open-OSS/privacy-filter, що містив файл loader.py, який запускає шкідливий код для крадіжки даних у ОС Windows.

Джерело: HiddenLayer. Python-скрипт містив підроблений код, пов’язаний з ІІ, щоб здаватися безпечним. Однак у фоновому режимі він відключав перевірку ключів SSL, декодував URL-адресу, що вказує на зовнішній ресурс, а потім витягував і виконував команду PowerShell.

Код, що виконувався у невидимому вікні, завантажував пакетний файл start.bat. Він підвищував привілеї у системі і завантажував фінальне навантаження, додаючи його до виключень Microsoft Defender. Це був інфостилер, написаний мовою Rust, здатний робити скріншоти екрана. Програма викрадала:

• куки, збережені паролі, ключі шифрування, історію переглядів у браузерах на базі Chromium і Gecko;
• токени Discord, локальні бази даних і майстер-ключі;
• криптогаманці та їх браузерні версії;
• облікові дані і конфігураційні файли SSH, FTP і VPN, включно з FileZilla;
• інформацію про систему.

Дослідники відзначили, що переважна більшість із 667 акаунтів, які поставили лайк шкідливому репозиторію, здаються автоматично згенерованими. Крім того, кількість завантажень у 244 000 також могла бути штучно завищена.

«ІІ-мусор» заполонив платформи для хакерів і кібершахраїв

У даркнеті все частіше з’являються скарги на «ІІ-мусор», який проникає в обговорення, гіди і технічні пости. Про це повідомляє Wired із посиланням на дослідження вчених із Кембриджського університету та Стратклайдського університету.

Експерти дослідили близько 98 000 ланцюжків на хакерських форумах, пов’язаних із ІІ, з моменту виходу ChatGPT у 2022 році і до кінця 2025 року. За цей період ставлення до генеративних моделей у кіберзлочинному середовищі суттєво змінилося.

Згідно з дослідженням, якщо раніше хакери обговорювали, як нейромережі допоможуть писати шкідливий код або шукати уразливості, то тепер вони все частіше скаржаться на потік «ІІ-слопу»: марних постів і примітивних гайдів із базових тем.

Крім того, деякі учасники форумів незадоволені тим, що відповіді LLM у пошуковій видачі Google знижують відвідуваність самих майданчиків, що негативно впливає на маркетинг хакерських платформ.

При цьому дослідники не помітили серйозного впливу ІІ на діяльність малопідготовлених шахраїв. Він поки що не знизив поріг входу для новачків і не спричинив кардинальних змін у галузі кібербезпеки.

Пов’язана з Білоруссю хакерська група атакувала державні органи України

У березні 2026 року зафіксована нова кампанія хакерської групи Ghostwriter (також відома як UNC1151 і FrostyNeighbor), спрямована на державні та оборонні структури України. Про це повідомили дослідники ESET.

Групу Ghostwriter, що спеціалізується на кібершпигунстві у Східній Європі, пов’язують із Білоруссю

За даними експертів, зловмисники розсилали фішингові PDF-файли, імітуючи документи компанії «Укртелеком». Вредоносні посилання у документі вели до завантаження ПО PicassoLoader, яке потім розгортало популярний інструмент для атак Cobalt Strike.

Хакери використовували перевірку за IP-адресою — заражений архів завантажувався лише у разі, якщо жертва знаходилася на території України.

Дослідники відзначили високу «операційну зрілість» групи. PicassoLoader може надсилати «відбиток» системи на сервери хакерів кожні 10 хвилин. На основі цих даних оператори Ghostwriter приймають рішення про продовження атаки на конкретну ціль.

На відміну від кампаній у Польщі чи Литві, де група обирає широкий спектр цілей від логістики до медицини, в Україні її діяльність сфокусована виключно на військовому і урядовому секторах.

Хакери TeamPCP виставили на продаж репозиторії Mistral AI

Хакерська група TeamPCP пригрозила зливом у мережу вихідного коду проектів Mistral AI, якщо не знайдеться покупець на викрадені дані. Про це повідомляє BleepingComputer.

Mistral AI — французька компанія у сфері штучного інтелекту, заснована колишніми дослідниками Google DeepMind і Meta. Вона спеціалізується на розробці LLM з відкритими вагами та пропрієтарного ПЗ.

У своєму зверненні на хакерському форумі зловмисники запросили $25 000 за пакет, що містить майже 450 репозиторіїв.

В офіційній заяві для BleepingComputer представники Mistral AI підтвердили компрометацію системи управління кодом. Взлом став наслідком масштабної атаки на ланцюжок поставок програмного забезпечення під назвою Mini Shai-Hulud.

В Mistral AI стверджують, що заторкнуті дані не є частиною основного вихідного коду.

Згідно з оприлюдненою інформацією, атака розвивалася у кілька етапів. Спочатку зловмисники отримали доступ до офіційних пакетів TanStack і Mistral AI за допомогою викрадених облікових даних CI/CD. Після цього шкідлива кампанія поширилася на сотні проектів у реєстрах npm і PyPI, включно з розробками UiPath, Guardrails AI і OpenSearch.

В Mistral AI визнали, що зловмисники на короткий час впровадили шкідливий код у деякі SDK-пакети компанії

Джерело: BleepingComputer. Група TeamPCP стверджує, що завантажила майже 5 ГБ внутрішніх даних, які Mistral використовує для навчання, тонкої налаштування (fine-tuning), порівняльного тестування і проведення експериментів.

Хакери заявили, що вивантажать у відкритий доступ інформацію, якщо не знайдуть покупця за тиждень.

Також на ForkLog:

• Зловмисники вивели $10 млн із THORChain.
• Альянс Tether, TRON і TRM Labs заморозили криптоактиви на $450 млн.
• Ethereum Foundation запустила сервіс для захисту від сліпого підписання транзакцій.
• У CertiK заявили про «індустріалізацію» криптокрадіжок Північної Кореї.
• Акаунт Roaring Kitty зламано для дампу токена RKC.
• У Google зафіксували зростання популярності ІІ серед кіберзлочинців.
• У LayerZero визнали помилки після зламу Kelp на $292 млн.

Що почитати на вихідних?

У новому матеріалі ForkLog розібрався, як головний програмний підрядник Міністерства оборони США і спецслужб Palantir Technologies «забезпечує очевидну перевагу Заходу».