Вредоносные npm-пакеты крадут ключи Solana и Ethereum

В экосистеме npm выявлена новая кампания, направленная против разработчиков криптовалютных проектов в сетях Solana и Ethereum. Исследователи зафиксировали пять вредоносных пакетов, опубликованных под учетной записью galedonovan. Они маскировались под легитимные криптографические библиотеки и использовались для typosquat и кражи Private keys с последующей отправкой данных напрямую жестко закодированному Telegram-боту.

По состоянию на 23 March 2026, инфраструктура активного C2 оставалась работоспособной. Это означает, что канал управления и эксфильтрации данных продолжал функционировать, а злоумышленники сохраняли возможность получать похищенные ключи в режиме реального времени.

Как работала атака

Вредоносные пакеты вмешивались в функции, которые разработчики обычно используют для передачи Private keys. Благодаря этому злоумышленники могли незаметно отправлять ключи в Telegram без ошибок, сбоев или заметных нарушений в работе кода.

Особенность кампании заключалась в том, что эксфильтрация происходила во время выполнения: как только приложение обрабатывало Private key, он отправлялся злоумышленникам в открытом виде. После получения такой информации ее можно было без труда импортировать в любой кошелек и вывести средства.

• пакеты для Solana перехватывали функцию Base58 decode();
• пакет, ориентированный на Ethereum, манипулировал конструктором кошелька;
• данные передавались напрямую в Telegram-бот;
• эксфильтрация была завязана на работу fetch(), что требовало Node.js 18 или более поздней версии.

При этом более старые версии Node.js автоматически завершали работу, не выдавая предупреждений пользователю. Такой механизм снижал вероятность обнаружения атаки.

Инфраструктура и методы сокрытия

Исследование показало, что Telegram-бот и связанная с ним группа получателей, созданные человеком, идентифицированным как Crypto_Dev, по-прежнему активны и отвечают на запросы. Это позволяет непрерывно выводить данные, пока бот остается в сети.

Отдельного внимания заслуживает уровень обфускации. В частности, в пакете base-x-64 вредоносная нагрузка была реализована через IIFE и содержала жестко закодированный токен бота Telegram вместе с динамическим хранением идентификатора чата с использованием механизма ротации строк.

Пакет ethersproject-wallet оказался особенно сложным: он копировал структуру и зависимости легитимной версии, добавляя лишь одну строку вредоносного кода. Такой подход демонстрирует продуманную модель Supply Chain Compromise, нацеленную на максимальную незаметность.

Сопоставление с MITRE ATT&CK

По классификации MITRE ATT&CK эти действия соответствуют нескольким техникам:

• T1195.002 — Supply Chain Compromise;
• T1059.007 — выполнение JavaScript;
• T1027 — Obfuscated Files or Information;
• T1657 — Financial Theft.

Вывод

Единообразие C2-инфраструктуры во всех пяти пакетах указывает на организованный характер кампании. Злоумышленник действовал последовательно, сочетая typosquat, обфускацию и точечную эксфильтрацию Private keys. Для разработчиков в криптовалютном сегменте это еще одно напоминание о необходимости тщательно проверять зависимости, особенно при работе с пакетами, связанными с Solana и Ethereum.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.