Solana kripto para birimi ekosistemine sızmayı amaçlayan kötü niyetli NPM paketleri kullanan “Solana-Scan” olarak adlandırılan sofistike bir tehdit kampanyası ortaya çıktı.
Güvenlik Araştırma Ekibi tarafından gelişmiş kötü amaçlı paket algılama teknolojisi aracılığıyla tanımlanan bu işlem, “Cryptohan” kullanıcısı altında çalışan ve [email protected] e -posta ile ilişkili bir tehdit aktörünü içerir.
Oyuncu, kripto alanında geliştiricileri cezbetmek için tasarlanmış bir taktik olan Solana SDK bileşenlerini taramak için araç olarak maskelenen paketler yayınladı.
Solana-tarama kampanyasının keşfi
Şu anda, NPM kayıt defterinde iki paket aktif kalıyor: Solana-Pomp-Test ve Solana-SPL-SDK, üçüncüsü, Solana-Pomp-SDK yakın zamanda aktör tarafından kaldırıldı.
Kampanyanın isimlendirmesi, paketlerin tezahürlerindeki referanslardan kaynaklanmaktadır ve var olmayan bir “Solana tarama” aracına yöneliktir ve bu da Solana ile ilgili bağımlılıkları taramak için meşruiyet anlamına gelir.
Bu aldatıcı adlandırma sözleşmesi, aktörün geliştirici topluluğunda, özellikle de kripto para birimi projelerinde çalışanların güvenini kullanma niyetinin altını çiziyor.
Saldırının zaman çizelgesi, 15 Ağustos 2025’te 07:37 UTC’de yayınlanan ilk paket olan Solana-Pomp-testi ile hızlı bir dağıtım stratejisi ortaya koyuyor ve ardından 10 saatlik bir süre boyunca yayınlanan 14 versiyon.
Sonraki Solana-SPL-SDK aynı gün 19:34 UTC’de ortaya çıktı. Paket içeriğinin analizi, dist dizinlerindeki özdeş dosyalar da dahil olmak üzere bu eserler arasında yüksek benzerlik gösterir.
Tehdit oyuncunun “Cryptohan” takma adını seçimi, adı belirli bir kişiye veya organizasyona bağlanmadan çeşitli kripto para birimi varlıklarında yaygın olarak kullanıldığından, algılanan meşruiyet için kasıtlı bir iş gibi görünmektedir.
Kurbanlar, komuta ve kontrol (C2) altyapısından gelen maruz kalan verilere dayanarak Rus kripto para geliştiricileri arasında yoğunlaşmış gibi görünüyor, ancak kesin enfeksiyon vektörü olarak NPM’nin doğrulanması beklemede kalıyor.
Bu coğrafi hedefleme, C2 sunucusunun Amerika Birleşik Devletleri’ndeki konumu ile birleştiğinde, siber tehditlerde olağandışı bir sınır ötesi dinamiği vurgulayarak devlet destekli potansiyel katılım hakkında sorular ortaya çıkarır.
Benzersiz saldırı özellikleri
Teknik mekaniğe giren paketlerin tezahürleri, kötü amaçlı yürütme için giriş noktası olarak hizmet veren dist/Universal-Launcher.cjs dosyasını çağıran bir “bin” tuşuna sahiptir.
Bu başlatıcı komut dosyası, DIST klasöründeki diğer JavaScript dosyalarıyla birlikte, kaçış taktiklerinin açık bir göstergesi olan ağır bir şekilde gizlenmiştir.
Deobfuscation üzerine, Universal-Launcher.js, kullanıcı adı, çalışma dizini ve kurulum yöntemi dahil çevresel veri toplama, yerel düğüm ve NPM ortamları ile etkileşimlerin yanı sıra gelişen tehdit aktör sofistike bir ayırt edici özelliği ortaya koyar.
Emojileri içeren konsol günlükleri, kodun Antropic’s Claude gibi AI araçları kullanılarak oluşturulmuş olabileceğini ve saldırının geliştirme sürecine bir modernite katmanı eklediğini öne sürüyor.
Komut dosyası daha sonra index.js veya index.cjs’den bir arka plan işlemi oluşturur ve kalıcılık sağlar.
Index.js’teki temel yük, ev klasörü, belgeler, indirmeler ve masaüstü gibi dizinlerin yanı sıra ek pencereler sürücüleri gibi hedef dizinleri hedefleyen kapsamlı bir dosya taraması yapar.
Potansiyel kripto para birimi tokenleri, cüzdan kimlik bilgileri ve değişim giriş bilgilerini çıkarmak için normal ifadeler kullanan .env, .json, .one, .one1, .One2 ve .txt gibi uzantılı dosyaları avlar.
Node_modules ve .git gibi dizinler için istisnalar gereksiz gürültü ve algılamayı önler.
Toplanan veriler bir JSON nesnesine paketlenir ve aktif bir RDP hizmeti ve kurban dosyalarını ortaya çıkaran bir Windows Server 2022 örneğini barındıran 209.159.159.198 numaralı IP adresinde C2 sunucusuna ekspiltratlanır.
Rapora göre, Shodan taramaları sunucunun ABD barındırmasını onaylıyor ve web uç noktası yanlışlıkla parola dosyaları ve kripto kimlik bilgileri de dahil olmak üzere tehlikeye atılmış varlıkları ortaya koyuyor ve arka uç işlemlerine nadir görülüyor.
Bu kampanyayı birbirinden ayıran şey, AI destekli kod üretimi, yük dağıtım için nüanslı NPM/düğüm etkileşimleri ve Rus kurbanlarını hedefleyen ABD tabanlı C2’nin jeopolitik entrikalarıdır.
Bu, aktörlerin infostealer dağıtım için açık kaynaklı ekosistemlerden yararlandığı olgunlaşan bir tehdit manzarasını yansıtır ve kripto para birimi geliştirme iş akışlarında titiz paket veterinerleme ihtiyacını vurgular.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Detaylar |
|---|---|
| NPM paketleri | Solana pompası testi, Solana-SPL-SDK, Solana-Pomp-SDK |
| Dosya | BD93BEA65242BC8205728F129C9BADC694D849A028FC2D771F9EA60A293665C (./index.cjs) E6f75dbff6d42e4c34b1a267426ccd6dfd3ea773a28e580c10687768fcc3883 (./index.js) Ed5b9c8bdede0668a240e976e65a46e2dd393ef597c7068c1bb842173ae51bb (./install.cjs) 233A408BCD07236D9331792356ED0B59DA5A4C51E3CA74F860A4BFFFF1A621C15 (./install.js) 21A6135067C3F150A4629E4746C8B81C5B41567117AF6924A1919077521D9 (. |
| E -posta adresleri | [email protected] |
| IP adresleri | 209.159.159.198 |
AWS Security Services: 10-Point Executive Checklist - Download for Free