Как хакеры используют поддельные сайты инструментов с открытым кодом для перехвата кликов и распространения вредоносного ПО

Изолированная система фильтрации: Охота на ценные цели

TDS играет роль не простого редиректа, а изощренного «привратника». Аналитики Check Point выяснили, что система применяет многоуровневые механизмы проверки и противодействия анализу, чтобы отделить реальных жертв от исследователей безопасности, «песочниц» и автоматических сканеров. Только пользователи, успешно прошедшие все эти проверки, перенаправляются к конечной вредоносной нагрузке . Такой выборочный подход затрудняет отслеживание всей сети и повышает ценность каждой успешной атаки для ее операторов. Для дальнейшего уклонения от обнаружения в системе используются такие приемы, как ключи на одну сессию и механизмы одноразового «высвобождения» полезной нагрузки .

Зловредный арсенал: RemusStealer, AnimateClipper и SessionGate

За время наблюдения за кампанией были выявлены поставки трех разных семейств вредоносных программ, у каждого из которых своя цель для монетизации.

• RemusStealer: Это инфостилер, работающий по модели «Вредоносное ПО как услуга» (MaaS) и продаваемый по подписке за $250–$500. Его цель — широкий спектр конфиденциальных данных: учетные записи из более чем 20 браузеров, данные из свыше 220 расширений для криптовалютных кошельков, менеджеры паролей и инструменты двухфакторной аутентификации .
• AnimateClipper: Криптовалютный клиппер, который в реальном времени перехватывает буфер обмена и подменяет скопированный пользователем адрес криптокошелька на адрес злоумышленника. Способен мониторить и перехватывать транзакции в более чем 20 различных блокчейнах .
• SessionGate: Ранее не задокументированный фреймворк, представляющий собой многоступенчатый загрузчик. Он использует мощную обфускацию и многочисленные техники обхода анализа для доставки потенциально нежелательного ПО (ПНП) или других модулей. В наблюдаемых цепочках атак он выступает в роли первой точки закрепления и дроппера .

Глобальная и долгоиграющая угроза

Масштаб кампании впечатляет. По данным Check Point, экосистема активна с конца 2025 года и сгенерировала более 5000 загрузок на VirusTotal, что говорит о широком охвате жертв. География атак охватывает весь мир, но основная активность сосредоточена в Турции, Польше, Бразилии, Германии, Франции, России и Великобритании .

Вывод для разработчиков и специалистов по безопасности однозначен и требует немедленных действий. Времена, когда можно было беспечно загрузить инструмент по первой ссылке из поиска, прошли. Пользователям жизненно необходимо проверять, находятся ли они на официальном сайте проекта, переходить напрямую на страницы GitHub или GitLab и с недоверием относиться к любой загрузке, которая мгновенно не выдает ожидаемый файл. Качество исполнения этих поддельных сайтов делает визуальную проверку недостаточной защитой перед лицом экосистемы, построенной на украденном доверии и автоматизированном обмане.