Den udgiver sig for at være legitime Solana SDK-værktøjer. Kampagnen retter sig specifikt mod russiske kryptoudviklere via ondsindede npm-pakker – hvilket vækker bekymring for mulig statslig involvering.
Hvordan kampagnen fungerer
Sikkerhedsfirmaet Safety afslørede, at Solana-Scan-kampagnen brugte npm-pakker med navnene “solana-pump-test” og “solana-spl-sdk”, offentliggjort af en aktør med aliaset cryptohan og e-mailen crypto2001813@gmail[.]com. Disse pakker udgiver sig for at være harmløse Solana-scanningsværktøjer, men installerer i hemmelighed infostealer-malware.
Når de aktiveres, scanner pakkerne almindelige brugermapper – som Dokumenter, Downloads, Skrivebord og ekstra drev – på jagt efter kryptoaktiver og følsomme filer.
Mål, aktører og spekulationer
Data fra ofrene peger på russiske udviklere, og pakkerne er hostet på npm, et arkiv ejet af Microsoft via GitHub. Sikkerhedsanalytikere bemærkede, at de command-and-control (C2)-servere, som håndterer de eksfiltrerede data, er placeret i USA, hvilket antyder geopolitiske implikationer.
Paul McCarty, forskningschef hos Safety, antydede mulige statsstøttede motiver bag disse angreb, selvom klare beviser endnu ikke er blevet fremlagt.
Malware-adfærd og AI-markører
Detaljerede undersøgelser viste, at malwaren kan være blevet skabt ved hjælp af generative AI-værktøjer – udviklere fandt emojis indlejret i console.log-kommandoer, hvilket tyder på AI-assisteret kodegenerering.
Angrebet er både snigende og strategisk: det anvender en totrins-payload. Først profilerer et opstartsscript systemmiljøet (brugernavne, mapper, installationsmetoder), før hoved-payloaden køres og leder efter følsomme filer som .env, .json og wallet-nøgler.
Hvorfor dette er vigtigt
Solana-Scan-kampagnen understreger den stigende sofistikering af forsyningskædeangreb og udviklerrettede cybertrusler – især inden for blockchain-området. Ved at efterligne betroede udviklingsværktøjer omgår angriberne sikkerhedsfiltre og får direkte adgang til meget følsomme oplysninger og aktiver. Dette sætter ikke kun udviklere, men også hele Solana-økosystemet i øget risiko.
Konklusion
Solana-Scan-kampagnen er et skræmmende eksempel på, hvordan trusselsaktører udnytter tilliden til open source – ved at udgive sig for at være nyttige SDK-værktøjer, som kompromitterer udviklingsmiljøer. Med Rusland som det tilsyneladende hovedmål og USA-baseret infrastruktur, der håndterer de stjålne data, fortsætter spekulationerne om geopolitiske motiver. Udviklere skal være årvågne og nøje gennemgå npm-afhængigheder, især i højriskomiljøer som Solana.
0 svar til “Solana-Scan-kampagne målretter russiske kryptoudviklere”