Исследовательская группа ReversingLabs обнаружили новый вредоносный пакет PyPI, представляющий собой приложение для блокчейна Solana и направленный на кражу исходного кода и секретов с машин разработчиков.
Описание
Эта угроза вступает в ряд атак на цепочки поставок программного обеспечения, связанных с криптовалютой, которые в последние годы стали все чаще. Исследователи зафиксировали 23 вредоносные кампании только в 2024 году, а сейчас продолжают обнаруживать новые угрозы, направленные на криптовалютную инфраструктуру. Например, пакет npm под названием pdf-to-office маскировал вредоносный код для кражи средств из криптовалютных кошельков Atomic Wallet и Exodus.
Самый последний отчет связан с вредоносным пакетом PyPI с именем solana-token, который фальсифицировал свое предназначение как утилиты для разработчиков, работающих с блокчейном Solana. Пакет пытался передать скрытые данные на заданный IP-адрес, включая исходный код и секреты разработчиков. Исследователи отметили типичные характеристики вредоносных пакетов, такие как использование IP-адресов, нестандартные порты для соединений и считывание данных из файлов.
Этот вредоносный пакет имитировал функциональность блокчейна, однако на самом деле сканировал и передавал важные данные на удаленный сервер, включая криптографические секреты. Целью таких атак является кража конфиденциальных данных и секретов, которые могут быть использованы для доступа к чувствительной информации или приложениям, включая криптовалютные кошельки. Данная угроза, подобно предыдущим атакам, нацелена на разработчиков криптовалютных проектов и вводит в заблуждение с целью проникновения и кражи.
Индикаторы компрометации
IPv4
- 84.54.44.100
IPv4 Port Combinations
- 84.54.44.100:3000
SHA1
- 0b8697f8e81956e7c0c5383806fa69630c38ad33
- 9719d1e076ab67a18f231889cad4b451f539ce72
- e07457e36bf9aab1dc2b54acd30ec8f9e5c60c84
- f4e1149360174b4fcf0dcc6e61898c8180324893
