В последнее время на рынке появилось огромное количество сибил-софта, как публичного так и приватного. Обычно это скрипты на Python или JavaScript. Иногда они поставляются в виде исходников и это упрощает аудит для тех, кто немного умеет читать код, иногда скомпилированы и исходники не доступны, что сильно усложняет жизнь.

Как скрипты воруют приватники? В большинстве случаев их отправляют по протоколу http/https на заранее настроенный сервер или телеграмм-боту.

Я написал примитивный тестовый скрипт, который делает что-то полезное - запрашивает баланс в Ethereum и попутно ворует приватники, отправляя их в телеграм своему боту.

Исходники: rekt-soft-example

Давайте запустим скрипт в терминале.

Как видите скрипт отработал
... и у меня в телеге оказались приватники

Теперь установим приложение Little Snitch
Оно платное, но есть пробный период.

Разрешаем запуск системного ПО

Разрешаем фильтровать сетевой трафик

Перед повторным запуском скрипта запускаем Alert Mode

Запускаем скрипт, он приостанавливается и появляется уведомление, где нужно одобрить или отклонить соединение.

В этом случае одобряем, так как видим, что соединение с eth.llamarpc.com, это RPC Ethereum, которое использует наш скрипт.

Далее появляется второе уведомление связанное с терминалом, на этот раз соединение с api.telegram.org это выглядит подозрительно, отклоняем его.

Скрипт выполняется, приватники не утекают.

Я думаю, вы поняли логику работы с Little Snitch.

Единственное неудобство, что в режиме Alert Mode вас будут спамить другие запросы на подключение, не только от терминала, но и от браузера и других программ. Так что лучше во время запуска скрипта не запускать программы, которые создают трафик.

Кроме Little Snitch есть другие программы со схожим функционалом, например Radio Silence и LuLu они тоже могут блокировать трафик от определённых приложений, но я не нашёл в них режим похожий на Alert Mode.

На этом всё, берегите свои приватники.

Статья написана специально для приватки FACKBLOCK RESEARCH