Группа исследователей кибербезопасности Safety обнаружила целевую кампанию под кодовым названием "Solana-Scan", распространяющую вредоносные пакеты через реестр NPM. Атака направлена на разработчиков в экосистеме криптовалюты Solana, при этом данные свидетельствуют о преимущественном интересе к российским специалистам.
Описание
Технический анализ угрозы
Злоумышленник, использующий почту crypto2001813@gmail[.]com и псевдоним "cryptohan" в NPM, опубликовал два пакета: "solana-pump-test" и "solana-spl-sdk". Третий пакет, "solana-pump-sdk", был удален из реестра незадолго до обнаружения кампании. Все пакеты маскируются под инструменты сканирования компонентов Solana SDK, что не имеет практического обоснования в легальной разработке.
При установке пакеты выполняют многоступенчатую атаку:
- Первичный скрипт "universal-launcher.cjs" собирает данные о среде выполнения: имя пользователя, рабочий каталог и метод установки.
- После анализа окружения запускается фоновый процесс "index.js", обеспечивающий устойчивость.
- Основной модуль проводит системное сканирование, фокусируясь на директориях Home, Documents, Downloads и дополнительных дисках Windows.
- Целевые файлы включают конфигурации (.env, .json) и текстовые документы (.txt, .one) с особым вниманием к данным, содержащим криптографические ключи.
Инфраструктура управления
Собранные данные упаковываются в JSON и передаются на IP-адрес 209.159.159.198 (США) через порт 3000. Исследователи обнаружили, что сервер функционирует под Windows Server 2022 с открытым RDP-доступом и веб-интерфейсом, где публично доступны файлы жертв: пароли, учетные данные криптобирж и кошельков. Геолокация части IP-адресов в логах указывает на Москву, однако точный вектор компрометации пока не подтвержден.
Отличительные особенности атаки
Кампания выделяется несколькими аспектами:
- Географический парадокс: сервер управления расположен в США, тогда как основная масса жертв предположительно находится в России, что вызывает вопросы о возможной государственной причастности.
- Использование генеративного ИИ: стиль кода с эмодзи в консольных сообщениях характерен для выводов нейросетей типа Anthropic Claude.
- Интеллектуальное взаимодействие со средой: скрипты адаптивно анализируют окружение Node.js и NPM для оптимизации вредоносной нагрузки.
- Селективный сбор: исключение системных директорий (node_modules, .git) снижает шумность операции.
NPM уже удалил активные пакеты, однако открытый доступ к серверу управления свидетельствует о риске утечки ранее собранных данных. Расследование продолжается для установления связей между "cryptohan" и другими акторами в криптоэкосистеме, где этот псевдоним используется несколькими лицами.
Индикаторы компрометации
IPv4
- 209.159.159.198
Emails
SHA256
- 21a6135067c3f150a4629e4746c8b81c5b41567117eeaf69224a1919077521d9
- 233a408bbcd072236d9331792356ed0b59da5a4c51e3ca74f860a4bf1a621c15
- bd93bea65242bc8205728f129c9bbadc694d849a028fc2d771f9ea60a293665c
- e6f75dbf6d42e4c34b1a267426accd6dfd3ea7773a28e580c10687768fcc3883
- ed5b9c8bfede0668a240e976e65a46e2dd393ef597c7068c1bb842173ae51ebb
NPM Packages
- solana-pump-test
- solana-spl-sdk
- solana-pump-sdk
