СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
14 мая
#Dev#ИБ#Инфра

Вредоносный Python-пакет «solana-token»: угроза разработчикам блокчейна

Вредоносный Python-пакет 171solana-token187: угроза разработчикам блокчейна

Недавно был выявлен опасный вредоносный пакет на Python, получивший название «solana-token», который нацелен на разработчиков, работающих с блокчейном Solana. Цель атаки – извлечение исходного кода и конфиденциальной информации с компьютеров жертв. Это открытие стало частью более широкого расследования компании ReversingLabs, которая отметила рост атак на цепочки поставок в секторе криптовалют.

Рост атак на криптовалютную инфраструктуру

Исследование ReversingLabs показывает, что:

  • В 2024 году было зафиксировано 23 различных кампании, нацеленных на криптовалютную инфраструктуру.
  • В 2025 году появились новые кампании, подтверждающие тенденцию роста угроз.

Вредоносный пакет «solana-token» маскируется под утилиту для разработчиков, создающих приложения на блокчейне Solana. Однако на целевой странице PyPI отсутствуетDetailed Overview, что вызывает подозрения.

Способы работы пакета

Примечательно, что до удаления из PyPI этот пакет был загружен более 600 раз, что могло способствовать его распространению среди разработчиков. Основные характеристики «solana-token» и других вредоносных пакетов включают:

  • Исходящие сообщения на нестандартные порты.
  • Привязка серверов управления к IP-адресам для избегания обнаружения.

Основная задача «solana-token» – извлечение секретов разработчиков, многие из которых остаются незащищенными в исходном коде. Это может привести к несанкционированному доступу к конфиденциальной инфраструктуре криптовалюты, такой как кошельки.

Методы кражи кода

Код в «solana-token» включает метод, который при запуске может сканировать стек выполнения Python для копирования и извлечения кода из всех задействованных файлов. Это поведение соответствует известным трендам использования вредоносных программ, которые ранее были нацелены на мнемонические фразы для восстановления криптокошельков.

Повторное использование имен и растущий риск

Примечательно, что в прошлом вредоносные пакеты использовали одно и то же имя, а эта версия «solana-token» является восстановлением ранее удаленного пакета. Это вызывает опасения, что в угрозах могут быть задействованы одни и те же участники.

Необходимость постоянного мониторинга

Появление «solana-token» подчеркивает сохраняющийся риск атак по цепочке поставок на криптовалютные проекты, особенно те, которые нацелены на разработчиков. Эта ситуация акцентирует необходимость для команд разработчиков и организаций осуществлять строгий мониторинг:

  • Подозрительных действий.
  • Изменений в своих программных компонентах с открытым исходным кодом или сторонних разработчиков.

Активная защита от проникновения вредоносного кода может помочь организациям снизить риск возникновения таких разрушительных угроз в цепочке поставок.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: