Ha surgido una nueva campaña de amenazas sofisticada dirigida a desarrolladores de criptomonedas a través de paquetes de NPM maliciosos diseñados para robar credenciales confidenciales e información de billetera.
El ataque, denominado “Solana-Scan” por investigadores, se dirige específicamente al ecosistema de criptomonedas Solana disfrazándose de kits de desarrollo de software legítimos y herramientas de escaneo.
La campaña se centra en múltiples paquetes de NPM maliciosos, incluidos “Solana-Pump-Test” y “Solana-SPL-SDK”, publicado por un actor de amenazas que usa el identificador “Cryptohan” con la dirección de correo electrónico crypto2001813@gmail (.) Com.
Estos paquetes se presentan como escaneos de archivos Solana avanzados y cargan SDK con capacidades de subprocesos múltiples, imitando deliberadamente herramientas de desarrollo legítimas para engañar a los desarrolladores desprevenidos.
Solana-bomba-prueba y solana-spl-sdk (fuente-seguridad)
Investigadores de seguridad identificado Esta campaña de amenazas a través de su tecnología de detección de paquetes maliciosos, descubriendo que los paquetes contienen cargas útiles de JavaScript muy ofuscadas diseñadas para cosechar credenciales relacionadas con las criptomonedas y los archivos sensibles.
El malware se dirige específicamente a los archivos con extensiones que incluyen .env, .json, .One, .One1, .One2 y .txt, utilizando expresiones regulares para identificar posibles tokens de criptomonedas y credenciales de billetera almacenadas en sistemas comprometidos.
La campaña demuestra una tendencia preocupante de los actores de amenazas que aprovechan el ecosistema de NPM para distribuir infinitadores sofisticados.
Con más de 17,000 archivos ya recopilados de acuerdo con el comando expuesto y la infraestructura de control, el ataque parece haber logrado un alcance significativo dentro de la comunidad de desarrolladores objetivo.
Particularmente preocupante es el enfoque aparente en los desarrolladores de criptomonedas rusas, con direcciones IP de víctimas rastreadas a Moscú, mientras que el servidor de comando y control opera desde una infraestructura de EE. UU. En la dirección IP 209.159.159.198.
Mecanismo de infección y persistencia de varias etapas
El malware emplea una sofisticada estrategia de implementación de varias etapas que comienza con el archivo Universal-Launcher.CJS, que sirve como punto de entrada inicial.
Este script de lanzador realiza un amplio reconocimiento ambiental, recopilando información del sistema que incluye el nombre de usuario, el directorio de trabajo y el modo de instalación de NPM.
Universal-Launcher.js JavaScript (Fuente-Seguridad)
El código contiene signos reveladores de generación asistida por AI, incluidos los mensajes de consola. Mensajes con emojis y patrones de codificación específicos consistentes con herramientas como Claude de Anthrope.
const _0x35a3f5 = proceso.env.detected_username; const _0x459771 = proceso.env.working_dir; const _0x45a3ca = proceso.env.npm_install_mode === “verdadero”; console.log (“🚀 Modo de instalación de NPM de lanzador universal:” + _0x45a3ca);
Una vez ejecutado, el lanzador busca cargas útiles secundarias (archivos index.js o index.cjs) y los inicia como procesos de fondo para mantener la persistencia.
La carga útil principal lleva a cabo un escaneo integral del sistema de archivos, dirigido a directorios de usuarios, incluidos documentos, descargas y carpetas de escritorio, al tiempo que excluye de manera inteligente directorios relacionados con el desarrollo, como Node_Modules y .Git para evitar la detección.
Los datos recopilados se empaquetan en formato JSON y se exfiltran al servidor de comando y control, donde una interfaz web expuesta revela el alcance inquietante de la operación, mostrando archivos robados que incluyen bases de datos de contraseña, credenciales de intercambio de criptomonedas y archivos de billetera de víctimas comprometidas.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
