CoinMarketCap, Cointelegraph kompromitiran kako bi poslužio skočne prozore za odvod kripto novčanika

Web stranice CoinmarketCap i Cointelegraph tijekom vikenda su ugrožene kako bi posjetiteljima poslužile pametne phishing skočne prozore, tražeći od njih da provjere/povežu svoje kripto novčanike.

Kompromis coinmarketcap

CoinmarketCap (aka CMC) je web stranica popularna kod kripto ulagača jer prati cijene kriptovaluta, tržišne kapitalizacije i količinu trgovanja.

20. lipnja 2025. posjetitelji početne stranice web mjesta bili su suočeni s pop-up koji ih je pozvao da povežu svoje novčanike kako bi održali pristup svom CMC računu.

Zlonamjerni pop-up na CMC-u

Prema Web3 kompaniji za zaštitu od strane BlockAid-a, zlonamjerni skočni prozor na web mjestu počeo se pojavljivati ​​20. lipnja (petak), oko 21:00 UTC/GMT.

CoinMarketCap je u subotu potvrdio kompromis i rekao da je “ranjivost” koja je omogućila napad povezana s (trećom stranom) “Doodle” slikom na početnoj stranici.

“Ova slika doodle sadržavala je vezu koja je pokrenula zlonamjerni kôd putem poziva API-ja, što je rezultiralo neočekivanim skočnim prozorima za neke korisnike kada su posjetili našu početnu stranicu”, rekli su.

U ponedjeljak su potvrdili da je 76 posjetitelja prevareno da povežu svoj novčanik i da su napadači ukrali ukupno 21.624,47 dolara, što su obećali da će nadoknaditi.

Kako se to dogodilo?

Startup C/Side sa sjedištem u SAD-u kaže da su glumci prijetnji uspjeli ometati zahtjev API-ja koji učitava sliku Doodle i natjerati ga da vrati JSON datoteku koja ne samo da sadrže metapodate o aktivnim doodlesima, već i skrivenim JavaScript kodom dizajniranim za:

• Pokrenite/izvršite u korisničkom pregledniku
• Provjerite je li pokrenut samo jednom po sesiji
• Sakrij legitimne elemente mjesta
• Stvorite i poslužite realistično prekrivanje na cijelom zaslonu s zlonamjernom porukom

“Kad korisnik klikne” Connect Wallet “, skripta se pokušava povezati s kripto novčanikom (npr. Metamask, Phantom)”, objasnili su. “Ako je povezan, scenarij komunicira s Rogue Domains (npr. WalletConnect.com, Trustwallet.com) kako bi ukrao vjerodajnice novčanika ili privatne ključeve.”

Pop-up skripta komunicirala je s većom bibliotekom JavaScript, dodali su, koja otkriva i povezuje se s popularnim novčanicama, prilagođava phishing protok, prevari korisnika u potpisivanje zlonamjernih transakcija i prikazuje lažne poruke o pogrešci kako bi korisnici pritiskali u pokušaj s različitim novčanicima.

“Ovaj je incident primjer udžbenika napada na lancu opskrbe. Napadači nisu izravno prekršili CoinmarketCap-ove poslužitelje. Umjesto toga, kompromitirali su resurs treće strane (datoteka JSON-a Doodle slike) u koju je CMC-ov front vjerovao”, objasnili su.

“Napadi na strani klijenta (kod koji se pokreće u korisničkom pregledniku) posebno su opasni jer zaobilaze sigurnosne alate na strani poslužitelja (npr. Vatrozidi, sustavi za otkrivanje provale), oni iskorištavaju povjerenje korisnika u poznatu platformu (CMC), a mogu se brzo širiti, jer je zlonamjerni kod učitan sa svakom posjetom stranice.”

Crypto and Blockchain News Outlet Cointelegraph također je danas potvrdio da je njen „sustav za izdavanje natpisa ukratko ugrožen 21. lipnja, što je rezultiralo zlonamjernom oglasom koja promovira lažni token Airdrop na [their] web stranica.”

Zlonamjerni pop-up na Cointelegraph (Izvor: Prevara Sniffer)

Čini se da su oba napada povezana s kupcima Inferno odvodnje, odjeće „odvodnje kao uslugu“, što je omogućilo mnoge slične napade u posljednjih nekoliko godina, što je uzrokovalo stotinu milijuna gubitaka.

Obje su web stranice “očišćene”, a tvrtke su rekle da su ojačale svoje sigurnosne kontrole kako bi spriječile slične napade u budućnosti.

Pretplatite se na našu upozorenje e-maila za Breaking News da nikada ne propustite najnovije kršenja, ranjivosti i prijetnje kibernetičkom sigurnošću. Pretplatite se ovdje!