Криптоклиппер продвигали через фальшивые отзывы, AI-озвучку и комментарии VirusTotal

Исследователи Check Point описали кампанию по распространению криптовалютного clipper malware, в которой злоумышленник использовал не только GitHub и SourceForge, но и фальшивые отзывы, tutorial-видео с AI-озвучкой, промо-публикации и координированные комментарии на VirusTotal. Целью были пользователи, ищущие «полезные» инструменты для Solana, Pump.fun sniper bots и crash-game predictors — то есть криптоэнтузиасты и игроки, готовые запускать сомнительные утилиты ради быстрой выгоды.

По данным The Hacker News, центральным узлом кампании была WordPress-фишинговая страница, а распространение шло через GitHub- и SourceForge-проекты, продвигаемые фейковыми аккаунтами. Check Point описывает это как подражание маркетинговым приёмам легитимных брендов: накрученные загрузки, пятизвёздочные отзывы, обучающие ролики в стиле инфлюенсеров и публикации на площадках, которым пользователи обычно доверяют.

Вредоносная программа написана на Rust и работает на Windows и macOS. Она постоянно отслеживает буфер обмена, ищет строки, похожие на адреса криптокошельков, и при совпадении подменяет их на адреса злоумышленника из hard-coded списка. Такой класс атак особенно опасен тем, что пользователь часто видит знакомый формат адреса, но не сверяет его полностью перед отправкой транзакции; после подтверждения перевод, как правило, необратим.

Отдельная деталь — попытка отравить репутационные системы. Исследователи называют это Ghost Networks: аккаунты оставляли положительные комментарии и сигналы на VirusTotal, чтобы вредоносные файлы казались безопаснее. На GitHub злоумышленник управлял как минимум шестью аккаунтами для взаимного продвижения. Один репозиторий, по данным Check Point, имел 146 звёзд и 62 форка. На SourceForge счётчик показывал 44 485 загрузок, причём 37 460 якобы пришли с Android-устройств, хотя предлагались только Windows- и macOS-версии.

Кампания показывает, что для конечного пользователя и защитников уже недостаточно смотреть на «социальные доказательства» вроде звёзд, отзывов и числа загрузок. Эти метрики можно синтетически раздуть. Безопаснее проверять происхождение проекта, историю коммитов, независимые разборы, подписи релизов и поведение бинарника в изолированной среде. Для криптовладельцев базовая защита — сверять адрес получателя на аппаратном кошельке или в отдельном канале, а не доверять только буферу обмена.

Источник: The Hacker News, 17 июня 2026