Обновленная версия вредоносной программы в первую очередь собирается шаблоны, связанные с криптовалютными адресами и данные браузера Firefox.
«Полагаем, что этот способ заражения и распространения основан на обмене файлами проектов между разработчиками, создающими приложения для продуктов Apple», — заявили специалисты по безопасности.
Если вирус находит у разработчиков проектов криптокошельки, то старается подменить подлинный адрес на мошеннический. При транзакциях средства перенаправляются злоумышленникам. Это создает угрозу и для пользователей программ: зараженный файл, переданный внутри команды разработчиков, может незаметно попасть в сборку приложения и распространиться вместе с легитимной релизной версией продукта.
В результате компрометации пострадавшими становятся не только отдельные владельцы криптокошельков, но целые компании, чей софт оказался целью атаки. Поскольку подмена адресов происходит на этапе сборки или ранней тестовой интеграции, обнаружить проблему на стороне конечного пользователя зачастую уже поздно, опасаются специалисты Microsoft Threat Intelligence. По их словам, атаки особенно опасны для проектов с открытым исходным кодом и команд, которые активно обмениваются рабочими файлами и библиотеками.
Ранее аналитики работающей в области кибербезопасности компании Truesec заявили, что в главные библиотеки JavaScript внедряется новый вид вируса-червя, уже заразившего более чем 500 NPM-пакетов и похищающего адреса криптокошельков.
