Uma sofisticada campanha de ameaças apelidada de “Solana-Scan” surgiu, implantando pacotes de NPM maliciosos destinados a se infiltrar no ecossistema de criptomoeda Solana.
Identificada pela equipe de pesquisa de segurança por meio de tecnologia avançada de detecção de pacotes maliciosos, esta operação envolve um ator de ameaças operando sob o identificador “Cryptohan” e associado ao email Crypto2001813@gmail.com.
O ator publicou pacotes disfarçados de ferramentas para digitalizar componentes SDK Solana, uma tática projetada para atrair desenvolvedores no espaço criptográfico.
Descoberta da campanha Solana-Scan
Atualmente, dois pacotes permanecem ativos no Registro da NPM: Solana-Pump-Test e Solana-SPL-SDK, enquanto um terceiro, Solana-Pump-SDK, foi recentemente removido pelo ator.
A nomenclatura da campanha decorre de referências nos manifestos dos pacotes com uma ferramenta inexistente “Solana-Scan”, que implica falsamente legitimidade para a digitalização de dependências relacionadas a solana.
Essa convenção de nomeação enganosa ressalta a intenção do ator de explorar a confiança na comunidade de desenvolvedores, particularmente aqueles que trabalham em projetos de criptomoeda.
A linha do tempo do ataque revela uma estratégia de implantação rápida, com o pacote inicial, o teste de solana-bombim, publicado às 07:37 UTC em 15 de agosto de 2025, seguido por 14 versões divulgadas durante um período de 10 horas.
O Solana-SPL-SDK subsequente apareceu às 19:34 UTC no mesmo dia. A análise do conteúdo do pacote mostra alta similaridade nesses artefatos, incluindo arquivos idênticos em seus diretórios dist.
A escolha do ator de ameaças do apelido de “Cryptohan” parece ser uma manobra deliberada para a legitimidade percebida, pois o nome é comumente usado em várias entidades de criptomoeda sem vincular um indivíduo ou organização específica.
As vítimas parecem concentradas entre russo desenvolvedores de criptomoedascom base em dados expostos da infraestrutura de comando e controle (C2), embora a confirmação do NPM como o vetor de infecção exata permaneça pendente.
Esse direcionamento geográfico, combinado com a localização do servidor C2 nos Estados Unidos, levanta questões sobre o envolvimento potencial patrocinado pelo Estado, destacando uma dinâmica transfronteiriça incomum em ameaças cibernéticas.
Características de ataque exclusivas
Aproveitando a mecânica técnica, os manifestos dos pacotes apresentam uma tecla “bin” que chama o arquivo dist/universal-launcher.cjs, servindo como ponto de entrada para a execução maliciosa.
Este script do lançador, junto com outro Arquivos javascript Na pasta Dist, é fortemente ofuscado, um indicador claro de táticas de evasão.
Após a Deobfuscation, o Universal-Launcher.js revela a coleta de dados ambientais, incluindo nome de usuário, diretório de trabalho e método de instalação, além de interações com os ambientes locais Node.js e NPM, uma marca registrada da sofisticação do ator de ameaças em evolução.
Os logs do console que incorporam emojis sugerem que o código pode ter sido gerado usando ferramentas de IA como o Claude da Anthrópica, adicionando uma camada de modernidade ao processo de desenvolvimento do ataque.
O script gera um processo de fundo do index.js ou index.cjs, garantindo a persistência.
A carga útil principal em index.js conduz uma varredura abrangente de arquivo em todo o sistema da vítima, direcionando diretórios como a pasta, documentos, downloads e desktop, além de unidades adicionais do Windows.
Ele caça para arquivos com extensões como .env, .json, .one, .one1, .one2 e .txt, empregando expressões regulares para extrair possíveis tokens de criptomoeda, credenciais da carteira e troca detalhes de login.
Exclusões para diretórios como Node_modules e .git evitam ruído e detecção desnecessários.
Os dados coletados são agrupados em um objeto JSON e exfiltrados ao servidor C2 no endereço IP 209.159.159.198 na porta 3000, que hospeda uma instância do Windows Server 2022 com um serviço RDP ativo e uma interface da Web que exponha arquivos de vítimas.
De acordo com o relatórioAs varreduras Shodan confirmam a hospedagem nos EUA do servidor, e o terminal da Web revela inadvertidamente ativos comprometidos, incluindo arquivos de senha e credenciais de criptografia, fornecendo rara visibilidade nas operações de back -end.
O que diferencia esta campanha é sua mistura de geração de código assistida por AI, interações diferenciadas por NPM/nó para entrega de carga útil e a intriga geopolítica das vítimas russas C2, com sede nos EUA.
Isso reflete um cenário de ameaça amadurecido, onde os atores aproveitam os ecossistemas de fonte aberta para a implantação do Infotealer, enfatizando a necessidade de verificação rigorosa do pacote em fluxos de trabalho de desenvolvimento de criptomoedas.
Indicadores de compromisso (IOCs)
| Categoria | Detalhes |
|---|---|
| Pacotes NPM | Solana-Pump-Test, Solana-SPL-SDK, Solana-Pump-SDK |
| Hashes de arquivo | BD93BEA65242BC8205728F129C9BBADC694D849A028FC2D771F9EA60A293665C (./index.cjs) E6F75DBF6D42E4C34B1A267426ACCD6DFD3AEA7773A28E580C10687768FCC3883 (./index.js) ED5B9C8BFEDE0668A240E976E65A46E2DD393EF597C7068C1BB842173AE51EBB (./install.cjs) 233A408BBCD072236D9331792356ED0B59DA5A4C51E3CA74F860A4BF1A621C15 (./install.js) 21a6135067c3f150a4629e4746c8b81c5b41567117eeaf69224a1919077521d9 (./Universal-Launcher.cjs) |
| Endereços de e -mail | Crypto2001813@gmail.com |
| Endereços IP | 209.159.159.198 |
AWS Security Services:10-Point Executive Checklist -Download for Free