2SDnjd76ePt
Криптобиржа KLAYswap лишилась $1,9 млн в результате хитроумного взлома цепочки поставок
Злоумышленники похитили порядка $1,9 млн у южнокорейской криптовалютной платформы KLAYswap с помощью хитроумного взлома протокола BGP в серверной инфраструктуре одного из ее поставщиков, пишет SecurityLab.
Атаке подвергся популярный южнокорейский мессенджер KakaoTalk 3 февраля нынешнего года. Хакеры воспользовались техникой, известной как перехват BGP, которая обычно используется для перехвата интернет-маршрутов и переадресации пользователей на вредоносные сайты.
Атака на KLAYswap сильно отличается от типичных взломов криптовалютных бирж. Как правило, для того чтобы похитить деньги пользователей, злоумышленники взламывают либо учетную запись кого-то из сотрудников биржи, либо код самой платформы. Однако в случае с KLAYswap хакеры атаковали не саму биржу, а серверную инфраструктуру мессенджера KakaoTalk, использующегося биржей для маркетинга, а также для общения с пользователями, обратившимися в техподдержку.
Злоумышленники воспользовались автономной системой – системой IP-сетей и маршрутизаторов, управляемых одним или несколькими операторами с единой политикой маршрутизации. Задачей автономной системы является «реклама» интернет-маршрутов, чтобы показать другим автономным системам, какие пространства IP-адресов принадлежат ей и какие домены в них можно обнаружить. На техническом уровне это происходит через маршруты BGP, которые автономные системы непрерывно передают друг другу.
С помощью поддельной автономной системы AS9457 злоумышленники «рекламировали» якобы принадлежащие ей IP-адреса, обслуживающие developers.kakao.com – домен, входящий в инфраструктуру разработки KakaoTalk и являющийся хостингом для официального Kakao SDK. Как сообщила ИБ-компания S2W, с помощью перехвата BGP хакеры распространяли вредоносную версию файла JavaScript SDK. Пользователи, желавшие загрузить этот файл с официального сайта KakaoTalk для разработчиков, получили вредоносную версию.
Вредоносный файл содержал в конце дополнительный код, который загружался в браузер пользователя и ждал, пока тот инициирует транзакцию на сайте KLAYswap. Обнаружив операцию, код перехватывал средства и отправлял их в кошелек хакеров, откуда они незамедлительно выводились через сервисы OrbitBridge и FixedFloat.
3 февраля в течение двух часов с 11:30 to 13:30 хакеры похитили криптовалютные активы на сумму в 2,2 млрд корейских вон (около $1,9 млн), после чего сами прекратили атаку.
Теги:
похожие материалы
Platform V SOWA AI от СберТеха поможет бизнесу контролировать и безопасно масштабировать работу ИИ
Российский разработчик ПО СберТех объявляет о выводе на рынок решения Platform V SOWA AI, которое формирует новый уровень безопасности при работе с искусственным интеллектом.
Доверяй, но проверяй: даже если файл подписан Microsoft, доверять ему не всегда можно
В СМИ появилась информация о том, что при участии Microsoft ликвидирована киберпреступная сеть Fox Tempest.
CISO Форум 2026: итоги клубной встречи лидеров информационной безопасности
28 апреля 2026 года в Москве, в Центре международной торговли, состоялся CISO FORUM 2026 - профессиональная площадка для CISO, CIO и архитекторов ИБ, где информационная безопасность обсуждается без маркетинга, на языке реальных кейсов, инцидентов и бизнес-решений.
VPN-ограничения не обрушили аудиторию, но ударили по привычке покупать «на ходу»
Аудитория крупных российских сервисов, ограничивших доступ пользователям с включенным VPN, в апреле почти не изменилась или снизилась в пределах 5%.
Банковскую карту теперь «прикладывают» через чужой телефон
Специалисты обнаружили два новых семейства Android-вредоносов для NFC-relay-атак - DevilNFC и NFCMultiPay.
NVIDIA закрыла 13 уязвимостей в драйверах GPU - часть могла привести к выполнению кода
NVIDIA выпустила майское обновление безопасности для GPU Display Drivers, закрывающее 13 уязвимостей в драйверах для Windows и Linux.
В GitHub признали факт взлома платформы
Веб-сервис GitHub взломали, в результате чего злоумышленники получили несанкционированный доступ к внутренним репозиториям.
Минпромторг усомнился в происхождении российских процессоров
Минпромторг попросил привлекать дополнительных экспертов к проверке российских процессоров «Иртыш» компании «Трамплин Электроникс».
ИИ добрался до цепочек эксплойтов: Cloudflare показала, что изменил Mythos
Cloudflare несколько недель тестировала Claude Mythos Preview от Anthropic на собственном коде и запустила модель более чем на 50 репозиториях.
Будущие инженеры научатся решать отраслевые задачи на базе ПО «Группы Астра»
Национальный исследовательский университет «Высшая школа экономики» (НИУ ВШЭ) и АНО по развитию информационных технологий и цифровых компетенций «Астра Академия» подписали соглашение о сотрудничестве.
