Notizie

Omnistealer sfrutta la blockchain per rubare tutto ciò che può

di Pieter Arntz | 14 aprile 2026
rubare tutto

Un nuovo programma di furto di dati denominato Omnistealer sta trasformando la blockchain in una piattaforma permanente di hosting di malware, il che rappresenta una brutta notizia sia per le aziende che per gli utenti comuni.

È piuttosto comune che il malware memorizzi il proprio payload su una piattaforma pubblica, preferibilmente una che conferisca una certa affidabilità alla download , come Google Docs, OneDrive, GitHub, npm, PyPI e così via.

Il problema per chi distribuisce malware è che questi possono essere eliminati. A volte ci vuole tempo e richiede un grande sforzo, ma è possibile. Omnistealer aggira questo ostacolo memorizzando il proprio codice temporaneo all'interno di transazioni su blockchain pubbliche come TRON, Aptos e Binance Smart Chain.

Alcune transazioni blockchain consentono l'inserimento di piccoli frammenti di dati arbitrari (note, metadati, input per smart contract) e, invece di dati innocui, gli hacker inseriscono:

  • Testo crittografato
  • Comandi codificati
  • Frammenti di codice malware

E poiché le blockchain sono di tipo "append-only", quei frammenti dannosi diventano di fatto impossibili da cancellare una volta inseriti in un blocco tramite mining. È possibile revocare i domini e rimuovere i repository GitHub, ma non è possibile ripristinare lo stato precedente di TRON o BSC solo per eliminare poche centinaia di byte di codice di staging del malware.

Ciò trasforma i registri pubblici in un'infrastruttura di comando e controllo resiliente e resistente alla censura che i difensori non possono semplicemente smantellare.

Nonostante l'evidente legame con le criptovalute, Omnistealer non si limita a derubare gli investitori in criptovalute. Una volta che Omnistealer si insedia in un sistema, prende di mira:

  • Oltre 10 gestori di password, compresi strumenti per utenti privati sincronizzati su cloud come LastPass.
  • I principali browser, come Chrome Firefox, raccolgono i dati relativi agli accessi salvati e alle sessioni.
  • Account di archiviazione cloud, comprese le credenziali di Google Drive.
  • Oltre 60 portafogli crittografici basati su browser, tra cui estensioni popolari come MetaMask e Coinbase Wallet.

 È stato progettato per essere uno strumento in grado di raccogliere tutti i dati in un unico posto e, secondo gli investigatori, «rubare letteralmente tutto».

L'attacco inizia in genere con un "semplice" incarico di programmazione: un collaboratore riceve un'offerta LinkedIn Upwork, scarica un repository GitHub ed esegue quello che sembra un normale codice di progetto. Dietro le quinte, quel codice si collega alla blockchain, legge i dati delle transazioni e li utilizza come indicatori per recuperare e decriptare il payload finale.

I ricercatori stimano che siano già state compromesse circa 300.000 credenziali, che spaziano dalle piattaforme dell'industria per adulti e dai servizi di consegna di cibo a domicilio alle società di conformità finanziaria, ai fornitori del settore della difesa e agli enti governativi statunitensi. 

Cosa puoi fare 

Non è possibile eliminare il malware dalla blockchain, ma puoi rendere molto più difficile che campagne come questa ti danneggino. Innanzitutto, riduci la quantità di dati che possono essere rubati. Poi, proteggi meglio le tue informazioni.

  • Considera di default sospette le offerte di "lavoro da sogno" e i contratti non richiesti, soprattutto se ti invitano rapidamente a passare a chat al di fuori della piattaforma (Telegram, Discord) o ti chiedono di eseguire codice proveniente da un repository privato.
  • Proteggi le tue password con un gestore di password affidabile e attiva l'autenticazione a più fattori (preferendo un'app o una chiave piuttosto che gli SMS) per qualsiasi account importante o sensibile.
  • Utilizza una soluzione anti-malware aggiornata e in tempo reale per bloccare, rilevare e rimuovere minacce come Omnistealer.
  • Non usare il tuo profilo utente quotidiano o la tua postazione di lavoro principale come banco di prova per progetti GitHub casuali o attività secondarie. Utilizza invece una macchina virtuale o un sistema separato.
  • Controlla i tuoi conti bancari e quelli relativi alle criptovalute per verificare che non vi siano accessi o prelievi inspiegabili e trasferisci i fondi su nuovi portafogli se sospetti che siano stati compromessi.

Ammettiamolo, una finestra in incognito ha i suoi limiti.

Violazioni dei dati, commercio sul dark web, frodi creditizie. Malwarebytes Identity Theft monitora tutto questo, ti avvisa immediatamente e include un'assicurazione contro il furto d'identità. 

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Notizie
Logo di JDownloader

Gli hacker hanno sostituito i file di installazione di JDownloader con malware

Maggio 15, 2026

Il sito web di JDownloader è stato compromesso e per diversi giorni download del programma di installazione hanno diffuso malware.

AI
Instagram tra WhatsApp e Instagram

Il nuovo e poco chiaro approccio di Meta alla privacy delle chat

Maggio 15, 2026

WhatsApp offre ora chat con messaggi che scompaiono gestite dall'intelligenza artificiale, che secondo Meta non è in grado di leggere. Nel frattempo, Instagram ha Instagram rimosso la funzione che impediva a Meta di leggere i tuoi messaggi.

Privacy
Logo di Yahoo Mail

Perché Malwarebytes alcuni reindirizzamenti di Yahoo Mail

Maggio 14, 2026

Alcuni utenti di Yahoo Mail potrebbero ricevere Malwarebytes ripetuti Malwarebytes a causa di connessioni in background a domini di terze parti sospetti. Ecco perché.

Articoli correlati

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe