Хакеры спрятали командный сервер в блокчейне Solana. Нет, криптовалюту они не крадут — они крадут всё остальное

В Positive Technologies рассказали о новой цепочке заражения, где злоумышленники прячут командный сервер за блокчейном Solana. В январе 2026 года команда киберразведки PT Expert Security Center обнаружила атаку, которая начинается с письма с «обычным» вложением и заканчивается полноценным удаленным управлением компьютером жертвы. По данным исследователей, активность идет как минимум с середины октября 2025 года и продолжается до сих пор.

Сценарий похож на классический фишинг. Приходит ZIP-архив, внутри лежит документ-приманка и вредоносный файл. Дальше варианты меняются: встречались XLL-добавка для Excel, ярлык LNK и установщик MSI. Смысл один и тот же: запустить спрятанную PowerShell-команду, которая подтягивает следующую ступень атаки и разворачивает среду для запуска вредоносного кода на Node.js.

Следующий этап выглядит нетипично. Загрузчик на JavaScript сильно обфусцирован и раздувается до нескольких мегабайт за счет «упакованных» внутрь модулей Node.js. Он закрепляется в системе через VBS-скрипт, автозагрузку и планировщик заданий с запуском каждые 5 минут. Дальше malware определяет, куда стучаться: либо берет резервный адрес, либо пытается получить альтернативный домен через TXT-запись в Solana Name Service. Такой прием усложняет блокировки и ускоряет смену инфраструктуры без привычных перенастроек на стороне жертвы.

Основная полезная нагрузка, по описанию PT ESC, это RAT с большим набором команд. Он поднимает связь с сервером злоумышленников по WebSocket и умеет выполнять задачи вроде выгрузки данных, запуска команд и файлов, снятия скриншотов, работы с файлами и дисками, а также проксирования трафика через SOCKS5. Отдельно упоминаются модули клиппера и кейлоггера, которые подгружаются с сервера атакующих.

Исследователи отмечают, что похожие конструкции встречались и раньше, например у BlueVoyant, но в их случае описывали другую технику первичного запуска. Здесь же внимание привлекли детали, которые могут говорить о происхождении или «кухне» разработки: русскоязычные комментарии в коде, эмодзи в служебных сообщениях, а также странности в логике, похожие на «сборку из подсказок» и заимствований.

По инфраструктуре тоже есть характерные следы. На одном IP исследователи нашли несколько доменов, включая адрес, который мимикрирует под популярный маркетплейс и может дополнительно собирать пользовательские данные. При этом география жертв, по наблюдениям PT ESC, не ограничивается СНГ: следы активности видели и в других странах, включая Германию и США.

Практический вывод простой: в этой истории опасен не «блокчейн», а то, как его используют для живучести управляющих адресов. Атака опирается на файлы, которые многие привыкли считать «офисной рутиной», поэтому защита упирается в дисциплину с вложениями и в технические запреты на запуск скриптовых цепочек из писем, ярлыков и «добавок» к Office.