Solana FakeFix: вредоносные npm и PyPI-пакеты крадут секреты

Исследовательская группа JFrog Security выявила кампанию Solana FakeFix, в рамках которой злоумышленники распространяли 25 вредоносных пакетов в экосистемах npm и PyPI. Атака была нацелена прежде всего на разработчиков Solana и строилась на сочетании typosquatting, поддельного branding для SDK Solana и lifecycle hooks, что позволяло похищать конфиденциальные данные.

Как работала схема обмана

Главным способом ввода жертвы в заблуждение стало продвижение опасных пакетов как исправлений совместимости для проблем сборки Solana. Таким образом злоумышленники эксплуатировали типичную для разработчиков ситуацию: поиск быстрого решения для зависимостей и ошибок сборки.

Кампания велась через спам в GitHub Issues от имени пользователя PassWord1337, который выдавал себя за участника сообщества. Этот подход был рассчитан на разработчиков, столкнувшихся с проблемами зависимостей, и повышал доверие к вредоносным пакетам.

Что похищали вредоносные пакеты

Пакеты были нацелены на извлечение широкого набора секретов, включая:

• ключи кошельков;
• учетные данные cloud-сервисов;
• tokens систем контроля версий;
• различные environment secrets.

Первый этап атаки требовал выполнения контролируемого злоумышленником JavaScript-кода во время установки npm-пакета. После запуска payload сразу выстраивал C2-канал через Telegram и начинал поиск секретов разработчика.

Для PyPI-пакетов вредоносная активность запускалась в ходе стандартного процесса import. Это подчеркивает различие в механизмах выполнения между npm и PyPI, несмотря на общий замысел атаки.

Эволюция кампании

Поздние варианты npm-пакетов развивались дальше: злоумышленники внедряли вредоносный код в JavaScript-библиотеки Solana, имитировавшие легитимную функциональность. Такой подход позволял обходить поверхностное сканирование и незаметно искать:

• Solana key pairs;
• AWS credentials;
• другие конфиденциальные данные в окружении разработчика.

Отдельный фрагмент кампании был связан с CMS-themed loader, распространявшимся через npm-пакеты пользователя thermonuclear. Хотя они не были напрямую связаны с Solana, пакеты содержали механизмы запуска удаленных Windows loaders с использованием сценариев PowerShell и JavaScript в контексте среды выполнения Deno.

Эти методы включали:

• скрытые установки;
• динамическое получение second-stage loaders;
• попытки закрепления через Scheduled Tasks и изменения Registry.

Фишинг под видом MEV

Злоумышленники также использовали тему MEV bots — Miner Extractable Value — чтобы заманить жертв в ловушку и выманить конфиденциальные учетные данные под обещанием пассивного дохода. Таким образом кампания сочетала техническую компрометацию пакетов и классические приемы фишинга.

«Сложность использованных методов, переход от простых backdoors к сложным trojanized libraries, показывает быструю эволюцию угроз, нацеленных на developer ecosystems».

Рекомендации по устранению

В отчете подчеркивается, что реагирование должно включать не только удаление затронутых пакетов, но и более широкую проверку инфраструктуры разработчика. Среди ключевых мер:

• удаление затронутых пакетов;
• ротация всех конфиденциальных учетных данных;
• аудит на наличие возможных признаков закрепления;
• проверка трафика к Telegram API;
• поиск других конкретных IoC, связанных с кампанией.

Solana FakeFix демонстрирует, как быстро злоумышленники адаптируются к экосистемам разработчиков: от примитивных backdoors они переходят к более изощренным trojanized libraries, маскирующимся под полезные инструменты и обновления.