Перейти к основному контенту
LiMP VPN
Все новости

OkoBot крадёт сид-фразы криптокошельков через GitHub

OkoBot крадёт сид-фразы криптокошельков через GitHub

Коротко: 15 июля 2026 года команда GReAT «Лаборатории Касперского» раскрыла OkoBot — модульный зловред, который больше года незаметно крадёт криптовалюту и личные данные. В нём свыше 20 модулей: они воруют пароли, данные из браузера и — самое опасное — сид-фразы криптокошельков через поддельные окна восстановления Ledger и Trezor. Распространяется через GitHub и социнженерию, замечен в 25+ странах и целит прежде всего в разработчиков и ИТ-специалистов. Обновление тут не спасёт — защита в дисциплине: никогда не вводите сид-фразу ни в какое окно и ставьте ПО только из официальных источников.

Что произошло

15 июля 2026 года команда глобального исследования угроз GReAT «Лаборатории Касперского» опубликовала данные об OkoBot — вредоносной платформе для кражи криптовалюты и данных пользователей. По оценке компании, кампания идёт более года и всё ещё активна. Исследователи отметили русскоязычные артефакты в коде, которые могут указывать на происхождение участников. О раскрытии в тот же день написали CNews и iXBT, а разбор опубликовал сам Securelist.

Опасен OkoBot не одним хитрым эксплойтом, а масштабом и терпением: это модульный «конструктор», который операторы собирают под каждую жертву и наводят в первую очередь на владельцев криптовалюты и на разработчиков, создающих инструменты вокруг неё. Если вы храните средства в кошельке — горячем или аппаратном — в этой истории стоит разобраться.

Как устроен OkoBot

OkoBot собран из более чем 20 взаимозаменяемых модулей. Вместе они умеют вытаскивать сохранённые учётные данные, устанавливать вредоносные расширения браузера, перехватывать нажатия клавиш и записывать действия пользователя на экране — полноценный набор для слежки и кражи. Но фирменный приём нацелен прямо на крипту.

Один из модулей тихо ждёт запуска приложений аппаратных кошельков Trezor и Ledger. Как только вы их открываете, он показывает поддельное окно «восстановления доступа», неотличимое от настоящего, и просит ввести сид-фразу. Отдадите её — и у злоумышленников есть всё, чтобы опустошить кошелёк: ломать защиту самого аппаратного устройства не нужно, ведь мастер-ключ вы вписали прямо в их окно. Настоящие приложения Ledger и Trezor никогда не просят повторно вводить фразу восстановления на экране — именно поэтому такая приманка так хорошо срабатывает на тех, кто этого правила не знает.

Как распространяется и на кого нацелен

Заражение строится на социнженерии, а не на одной уязвимости. Касперский описывает два основных пути: схему ClickFix, когда страница уговаривает вас скопировать и запустить команду «чтобы починить» несуществующую ошибку, и GitHub, где зловред публикуют под видом легального ПО или инструментов для разработчиков. Попытки атак зафиксированы более чем в 25 странах, включая Бразилию, Вьетнам, Канаду, Мексику и Турцию.

Важно: по данным GReAT, одна из главных целей — разработчики и другие ИТ-специалисты, которые постоянно тянут код и инструменты с GitHub и привыкли запускать незнакомые скрипты. Именно это доверие и есть поверхность атаки. Те же рефлексы, что делают разработчика продуктивным, OkoBot и эксплуатирует — поэтому «выглядело как обычный репозиторий» защитой не является.

Чем это опасно для ваших данных

Кража криптовалюты необратима: как только сид-фраза утекла и кошелёк опустошён, звонить в банк некуда и откатить транзакцию нельзя. Но OkoBot не ограничивается монетами. Когда кейлоггер, кража учёток и внедрение расширений браузера работают вместе, зловред способен перехватывать пароли и сессии почты, рабочих порталов и банков — и тихо собирать более полный профиль на вас. Чем больше ваших учёток уже гуляет по сети после прошлых инцидентов — как в утечке миллиардов паролей через инфостилеры, о которой мы писали, — тем проще связать одну компрометацию с другой.

Как защититься

Никогда не вводите сид-фразу ни в какое окно или на сайт. Фраза восстановления вводится только на самом устройстве аппаратного кошелька, а не в десктопном или браузерном всплывающем окне. Если её просит любое приложение или страница — это и есть атака, закройте её.

Ставьте ПО только из официальных источников. Относитесь к загрузкам с GitHub и «удобным утилитам» с подозрением: проверяйте автора, историю репозитория и звёзды, предпочитайте официальные сайты вендоров. Никогда не копируйте и не запускайте команду, которую велит выполнить веб-страница, — в этом и весь капкан ClickFix.

Храните учётные данные в менеджере паролей с двухфакторной аутентификацией. Уникальные пароли и 2FA ограничивают, как далеко зайдёт злоумышленник с украденным, и делают перехваченные кейлоггером пароли куда менее пригодными для повторного входа.

Шифруйте соединение в недоверенных сетях. VPN не удалит зловред с заражённой машины — это делают только аккуратные привычки и защитное ПО. Но он закрывает другую дверь: в публичном или общем Wi-Fi он уводит трафик в зашифрованный туннель, чтобы никто в той же сети не перехватил логины и сессии, которые вы отправляете на биржи, в банк или почту. Считайте это одним из нескольких слоёв — вот как мы защищаем данные в онлайн-сервисах. LiMP VPN — no-logs-сервис для iOS и Android; смотрите возможности и тарифы, а больше новостей о безопасности — в нашем блоге.

Стоит ли беспокоиться, если у меня нет криптовалюты?

Отчасти. Модуль с сид-фразой окупается только против владельцев кошельков, но остальная начинка OkoBot — кейлоггер, кража учёток, внедрение расширений — угрожает кому угодно. Попав на машину, зловред способен вытащить пароли и сессии, которыми вы пользуетесь каждый день. Защитные привычки для всех одинаковы: ставьте ПО из официальных источников, не доверяйте неожиданным окнам «почини это» и держите аккаунты за менеджером паролей и 2FA.

Источники

Материал подготовлен по раскрытию OkoBot от Kaspersky GReAT (Securelist) от 15 июля 2026 года в изложении iXBT и CNews, июль 2026 года.

OkoBot крадёт сид-фразы криптокошельков через GitHub