Solana-Scan: крипторынок атакуют поддельные библиотеки — и пишутся они уже не людьми

SDK Solana-Scan блокчейн криптовалюта NPM
Solana-Scan: крипторынок атакуют поддельные библиотеки — и пишутся они уже не людьми
SDK Solana-Scan блокчейн криптовалюта NPM

Хакеры, не волнуйтесь. Всю грязную работу по заражению блокчейна возьмёт на себя ИИ.

image

Исследователи обнаружили новую кампанию с политическим оттенком, нацеленную на экосистему блокчейна Solana и, как предполагается, на разработчиков криптопроектов из России. Исследователи компании Safety, работающей в сфере защиты цепочек поставок ПО , выявили серию вредоносных пакетов NPM , замаскированных под инструменты для работы с Solana SDK. На деле они распространяли инфостилер — вредоносное ПО, собирающее данные с заражённых устройств.

Поддельные пакеты под названиями solana-pump-test и solana-spl-sdk были опубликованы в официальном реестре NPM и приписаны аккаунту с ником cryptohan и почтой crypto2001813@gmail[.]com. Аналитики предполагают, что имя выбрано для придания правдоподобия и не связано с конкретным человеком. Примечательно, что один из пакетов получил 14 обновлений всего за десять часов после публикации 15 августа, что указывает на активную доработку и возможное стремление авторов скрыть следы.

После установки пакеты инициировали сканирование системных директорий — home, Documents, Downloads, Desktop и дополнительных дисков в Windows. Целью были как общие пользовательские данные, так и потенциальные криптоактивы. Собранная информация пересылалась на командно-контрольный сервер (C2), расположенный в США. При этом среди следов, обнаруженных в инфраструктуре злоумышленников, оказались IP-адреса, зарегистрированные в Москве. Остаётся неясным, принадлежат ли эти адреса заражённым пользователям или они отражают активность самих операторов кампании.

Особый интерес вызывает география атаки: инфраструктура размещена в США, а жертвами, по предварительным данным, становятся наши соотечественники. На этом основании исследователи осторожно допускают, что речь может идти о работе акторов, связанных с государственными интересами .

Дополнительные признаки указывают на использование генеративных ИИ-инструментов при создании вредоносного кода. В частности, в консольных логах обнаружены нестандартные сообщения с эмодзи — характерный маркер текстов, созданных с помощью моделей вроде Claude. Такой стиль не типичен для ручного написания вредоносного JavaScript, что усиливает предположение о применении автоматизированных средств разработки.

Кампания получила название Solana-Scan. Она показывает, что экосистема блокчейна становится всё более привлекательной целью для атакующих, а вредоносные пакеты в менеджерах зависимостей продолжают оставаться удобным каналом распространения инфостилеров. Для разработчиков это означает необходимость тщательной проверки внешних библиотек и мониторинга источников, откуда они устанавливаются, поскольку даже популярные реестры не гарантируют полной защиты от подмен.