Den utgir seg for å være legitime Solana SDK-verktøy. Kampanjen retter seg spesifikt mot russiske kryptoutviklere via ondsinnede npm-pakker – noe som vekker bekymring for mulig statlig involvering.
Hvordan kampanjen fungerer
Sikkerhetsselskapet Safety avdekket at Solana-Scan-kampanjen brukte npm-pakker med navnene «solana-pump-test» og «solana-spl-sdk», publisert av en aktør med alias cryptohan og e-post crypto2001813@gmail[.]com. Disse pakkene utgir seg for å være harmløse Solana-skanningsverktøy, men installerer i hemmelighet infostealer-skadelig programvare.
Når de aktiveres, skanner pakkene vanlige brukermapper – som Dokumenter, Nedlastinger, Skrivebord og tilleggslagre – på jakt etter kryptoaktiva og sensitive filer.
Mål, aktører og spekulasjoner
Data fra ofrene peker mot russiske utviklere, og pakkene er vertet på npm, et arkiv eid av Microsoft via GitHub. Sikkerhetsanalytikere oppdaget at command-and-control (C2)-serverne som håndterer den eksfiltrerte dataen er basert i USA, noe som antyder geopolitiske implikasjoner.
Paul McCarty, forskningssjef hos Safety, antydet mulige statsstøttede motiver bak disse angrepene, selv om klare bevis fortsatt ikke er lagt frem.
Skadelig oppførsel og AI-markører
Detaljerte undersøkelser viste at skadevaren kan ha blitt laget ved hjelp av generative AI-verktøy – utviklere oppdaget emojis innebygd i console.log-kommandoer, noe som tyder på AI-assistert kodegenerering.
Angrepet er både skjult og strategisk: det bruker en to-trinns payload. Først profilerer et oppstartsskript systemmiljøet (brukernavn, mapper, installasjonsmoduser), før hovedpayloaden kjøres og søker etter sensitive filer som .env, .json og lommeboknøkler.
Hvorfor dette er viktig
Solana-Scan-kampanjen understreker den økende sofistikeringen av leverandørkjedeangrep og utviklerrettede cybertrusler – spesielt innen blokkjedeområdet. Ved å etterligne betrodde utviklingsverktøy omgår angriperne sikkerhetsfiltre og får direkte tilgang til svært sensitive data og aktiva. Dette setter ikke bare utviklere, men også hele Solana-økosystemet, i økt risiko.
Konklusjon
Solana-Scan-kampanjen er et skremmende eksempel på hvordan trusselaktører utnytter tilliten til åpen kildekode – ved å utgi seg for å være nyttige SDK-verktøy som kompromitterer utviklingsmiljøer. Med Russland som det tilsynelatende hovedmålet og USA-basert infrastruktur som håndterer den stjålne dataen, fortsetter spekulasjonene om geopolitiske motiver. Utviklere må være årvåkne og nøye gjennomgå npm-avhengigheter, spesielt i høyrisikomiljøer som Solana.
0 responses to “Solana-Scan-kampanje retter seg mot russiske kryptoutviklere”