Hackers vallen Russische ontwikkelaars aan met malware voor cryptovaluta Sol

Onbekende aanvallers richten zich met een hackcampagne op Russische ontwikkelaars die de cryptomunt Sol gebruiken. Er is kwaadaardige code ontdekt die gegevens steelt, zoals wachtwoorden en inloggegevens voor wisselbeurzen voor cryptovaluta.

Securityonderzoekers van het Canadese bedrijf Safety hebben een nieuwe hackcampagne ontdekt die gericht is op ontwikkelaars die de cryptovaluta Sol gebruiken of eraan werken. Deze virtuele munt is gebaseerd op het blockchainplatform Solana en zou populair zijn in Russische hackerskringen, waar deze onder meer kan dienen als betaalmiddel bij ransomwareaanvallen. De ontdekte malware scant diverse mappen op geïnfecteerde computers en zoekt daarbij onder meer naar bestanden met wachtwoorden, inloggegevens voor cryptovalutabeurzen en tokens voor cryptovalutawallets.

De zogeheten Solana-Scan-aanval bestaat uit kwaadaardige JavaScript-code in de vorm van npm-packages. Softwareontwikkelaars kunnen die packages downloaden om te gebruiken als functionele elementen in code die zij zelf schrijven. De kwaadaardige Solana-Scan-packages zijn opgedoken in de centrale npm-database Registry. Ze doen zich voor als scantools om sdk-componenten voor Solana te detecteren.

"Waarom je daar een 'scanner' voor nodig hebt, weten we niet", blogt hoofdonderzoeker Paul McCarty van Safety. Dat securitybedrijf is gespecialiseerd in het beveiligen van softwaresupplychains, wat ook npm-packages omvat. Deze voorverpakte brokken JavaScript-code kunnen handig zijn, maar ook een gevaar vormen. Onder meer de Owasp Foundation waarschuwt voor de risico's van npm-packages en geeft best practices voor veilig npm-gebruik.

Cybercriminelen hebben eerder al npm misbruikt voor hackaanvallen, onder meer om cryptovaluta te stelen. Aanvallers doen dit vaak door npm-packages te compromitteren. In het geval van Solana-Scan zijn legitieme packages niet voorzien van malware; de kwaadaardige packages zijn volledig door de aanvallers zelf gemaakt. De code vertoont tekenen dat deze is geschreven met behulp van AI-tools, zoals Claude van Anthropic.

Het is vooralsnog niet bekend wie er achter deze hackcampagne zit. Safety merkt op dat een command-and-controlserver (C2-server) voor aansturing van de malware in de Verenigde Staten wordt gehost. "Is dit een staatsgesteunde actor?", vraagt securityonderzoeker McCarty zich openlijk af in de blogpost. Deze suggestie krijgt steun van het feit dat, gekeken naar IP-adressen, de meeste slachtoffers zich in Rusland lijken te bevinden.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 18-08-2025 13:57 20

18-08-2025 • 13:57

20

Lees meer

19 sep 2025

Wat zijn npm-packages en waarom richten hackers zich erop?

48
GitHub gaat beveiliging npm-packages versterken met verplichte 2fa en meer
GitHub gaat beveiliging npm-packages versterken met verplichte 2fa en meer Nieuws van 23 september 2025
Hackers infecteren 187 npm-packages met malware die credentials steelt
Hackers infecteren 187 npm-packages met malware die credentials steelt Nieuws van 16 september 2025
Npm-packages met 2 miljard wekelijkse downloads zijn met malware geïnfecteerd
Npm-packages met 2 miljard wekelijkse downloads zijn met malware geïnfecteerd Nieuws van 8 september 2025
Gps vliegtuig Europese Commissievoorzitter werd mogelijk door Rusland verstoord
Gps vliegtuig Europese Commissievoorzitter werd mogelijk door Rusland verstoord Nieuws van 1 september 2025
Anthropic gaat Claude trainen op data van gebruikers en klanten
Anthropic gaat Claude trainen op data van gebruikers en klanten Nieuws van 28 augustus 2025
Hackersgroep claimt vernietiging 7000 servers van Russische vliegmaatschappij
Hackersgroep claimt vernietiging 7000 servers van Russische vliegmaatschappij Nieuws van 28 juli 2025
Hackers stelen keys door JavaScript-library van Solana-apps over te nemen
Hackers stelen keys door JavaScript-library van Solana-apps over te nemen Nieuws van 6 december 2024
Criminelen proberen cryptovaluta te stelen via malware in populaire animatietool
Criminelen proberen cryptovaluta te stelen via malware in populaire animatietool Nieuws van 31 oktober 2024
Meer producten en artikelen
Software development E-commerce Politiek en recht cryptocurrency Malware npm Package manager Rusland Security Valuta

Reacties (20)

-Moderatie-faq
20
17
11
1
0
2
Wijzig sortering

Sorteer op:

Weergave:
svane 18 augustus 2025 15:01
Ik vind dat de conclusie dat deze aanval zich richt op Rusland wel héél erg kort door de bocht en zwak onderbouwd.

Dusdanig zwak dat Tweakers dit eigenlijk niet in de titel zou moeten hebben.
  1. De auteur heeft de C&C server gevonden, deze laat logs zien van de laatste 10 bestanden die binnen zijn gekomen, inclusief ip van het slachtoffer.
  2. Het screenshot [1] dat hij heeft geplaatst toont 4 files die allemaal van hetzelfde ip adres vandaan komen. Dit adres komt inderdaad uit Moskou.
  3. Als je nu naar de logs kijkt, zie je 10 files van een ander slachtoffer, die uit de US komt.
Dat is alles........ meer niet. Hij heeft de code geanalyseerd, daar stond (blijkbaar [2]) niks specifieks in dat mensen in Rusland als doelwit kiest. De beschrijving van het NPM package? In het Engels. De slachtoffers? Uit meerdere landen.

Ook de rest van de beweringen zijn heel zwak:
  1. er staan emoji's in de code? Moet wel Claude code zijn
  2. De C2 server staat in de US? Staatsgesteunde actor.....
Ik zeg het niet vaak, maar dit is wel echt sensatiezoekerij van deze onderzoeker, waar Tweakers niet in zou moeten meegaan.
offtopic:
[1] Ik vind het ook niet zo netjes dat hij de ip adressen herkenbaar in de screenshots laat staan

[2] Het is een aanname, ik heb zelf de code niet gelezen, maar ik ga ervanuit dat de auteur het wel gemeld had als er code in stond die specifiek Russen als doelwit nemen

[Reactie gewijzigd door svane op 18 augustus 2025 15:01]

Anck @svane19 augustus 2025 09:48
Inderdaad. Daarnaast gaat het ook niet om een "malware voor Sol". Het gaat om een npm package met wat JavaScript dat op zoek gaat naar passwords in je home directory. De enige link met Sol is dat de package zich voordoet als iets in het Sol ecosysteem, maar het doet daar weinig mee en stelt verder ook niet veel voor. Het is niet eens een supply chain attack want dit is een nieuwe package die je zelf moet installeren zonder dat eigenlijk duidelijk is waarom je dat zou willen. Wat meer kritische berichtgeving zou op zijn plaats zijn.
William_H @Anck19 augustus 2025 11:07
Volgens mij wordt er in het artikel wel degelijk een vraag gesteld bij het nut en de noodzaak voor dit mom-package. Nota bene door de onderzoeker zelf.
Djerro123 18 augustus 2025 14:12
Tja dit wordt natuurlijk alleen maar meer. Ik houd nu een paar jaar een bepaalde programmeertaal in de gaten, en op Reddit vind ik het altijd heel leuk om door nieuwe projecten van andere ontwikkelaars te gaan om zo te zien hoe zij problemen aanpakken/oplossen.

Dat is er tegenwoordig niet meer bij, (bijna) alle aankondigingen zijn AI slop en werken soms niet eens. Met agentic development kan je nu gewoon een computer laten pruttelen tot er wat uitkomt wat je kan gebruiken, en dat wordt natuurlijk ook direct opgepakt door criminelen. Het enge is dat goedwillende “developers” (vibecoders zijn geen engineers) zomaar hun IDE met allerlei vage MCP servers laten connecten en LLMs bekijken gewoon op basis van beschrijvingen wat “handige” dependencies zijn. Dus ja, als Claude iets tegenkomt wat “scan sdks voor solana!!” tegen komt in zijn zoektocht en evaluatie, dna kan die dat zomaar voor je downloaden, integreren en uitvoeren.

ik kijk met grote bezorgdheid naar mijn collega’s die gewoon auto-approve op agentic development tools aanzetten. Het wordt echt verschrikkelijk.
naaitsab @Djerro12318 augustus 2025 14:22
Tja dit wordt natuurlijk alleen maar meer.
Helaas wel ja, als je een beetje verdiept in de manier van payload dropping en de slinksheid van de exploits gecombineerd met creatieve lagen obfuscatie is het echt een mijnenveld. Je wordt er niet vrolijk van en de huidige AV's en vooral OS'en zijn er simpelweg niet tegen opgewassen. Ook helpt het niet dat veel omgevingen nog bar weinig doen om sessies beter te beschermen tegen token hijacks. Gezien die MFA volledig buiten spel zetten.

Er zal rap echt iets drastisch moeten veranderen in hoe we met computers werken om het weer veilig te krijgen. Blind vertrouwen is in ieder geval niet meer mogelijk. Als ontwikkelaar je systeem airgappen of op z'n minst volledig containeriseren (VM) en alle externe frameworks/libraries regel voor regel nakijken is op dit moment bijna noodzaak geworden. Dat laatste is bij deze ontwikkelaar in ieder geval niet gebeurd.
Aleph 18 augustus 2025 14:53
Het is vooralsnog niet bekend wie er achter deze hackcampagne zit. Safety merkt op dat een command-and-controlserver (C2-server) voor aansturing van de malware in de Verenigde Staten wordt gehost. "Is dit een staatsgesteunde actor?", vraagt securityonderzoeker McCarty zich openlijk af in de blogpost. Deze suggestie krijgt steun van het feit dat, gekeken naar IP-adressen, de meeste slachtoffers zich in Rusland lijken te bevinden.
Wat een zwakke beredenering. Iedereen kan toch overal een server of VPN aanschaffen of mis ik iets?
Tourmaline @Aleph18 augustus 2025 14:58
Ja, dat kan maar veel software kan al zien of je een vpn gebruikt of niet.
Globefrotter 18 augustus 2025 14:44
Tja, een oud gezegde vertelt het al: "je moet de vijand met zijn eigen wapens verslaan"......
theduke1989 18 augustus 2025 14:07
I am wondering who it can be???

Vermoedelijk Amerika of vriendjes van Amerika.

China, Korea etc zullen het niet zijn, vooral niet nu met BRICS

[Reactie gewijzigd door theduke1989 op 18 augustus 2025 14:07]

hottestbrain @theduke198918 augustus 2025 14:31
Vergeet Oekraiense hackers niet.
theduke1989 @hottestbrain18 augustus 2025 14:48
dat zijn vriendjes of indirecte vriendjes van Amerika.

Want amerika levert weer wapens aan Duitsland etc, of andere landen in europa die hele goede vriendjes zijn met Amerika. Het zit veel dieper dan je denkt.

Indirect is een grote scope voor Amerika, want wapens moeten verkocht worden, direct of indirect.
familyman @theduke198918 augustus 2025 15:43
Volg je het nieuws?? Hoezo, vriendjes?? Trump zit toch echt op een koers dat alles waar de afgelopen 11 jaar voor gevochten is, voor niks is en moet worden weggegeven. En dat er als dank heel veel geld aan ze gegeven moet worden.

Ukraine en de vs hebben op zijn best een moeilijke relatie.

En, eerlijk, ik hoop dat de vs er vanavond achter komt dat ze alleen staan.
Nolimitski @theduke198918 augustus 2025 14:26
Wat is er nu met BRiCS dan? En welke Korea? Alsof China Rusland een zorg zal wezen.
Gipsy King 18 augustus 2025 14:31
Niet met je laten SOL(LEN).

Cardano daagde hackers uit , maar tot heden is die wallet nog safe... (https://x.com/IOHK_Charles/status/1824694973738127541?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1824694973738127541%7Ctwgr%5Ec403d24f1a54ed6da89914deadb5c3e2e389fb96%7Ctwcon%5Es1_c10&ref_url=https%3A%2F%2Fcryptodnes.bg%2Fen%2Fcharles-hoskinson-puts-up-1-million-to-test-cardanos-wallet-security%2F)

Genoeg werk aan de winkel in cryptoland.

[Reactie gewijzigd door Gipsy King op 18 augustus 2025 15:13]

freevago 19 augustus 2025 11:13
Je kan nu wel stellen dat " cyberwar" een feit is.

Vraag mijzelf af of het allemaal " clean" blijft of dat er toch een " ouderwetse militaire clash" komt.
Tourmaline @audb18 augustus 2025 14:44
Die roven voornamelijk Bitcoin faults leeg....

Zo kun je de blokkade mooi omzeilen.


Dit is meer de hacker gehackt.....

[Reactie gewijzigd door Tourmaline op 18 augustus 2025 14:45]

watercoolertje
@audb18 augustus 2025 14:57
Russische hakkers stelen genoeg van westerse werelden om daar mee de Russische economie en daar mee ook de oorlog met Oekraïne in stand te houden.
Vandaar dat er een enorm begrotingstekort is, en dan betalen alle russen ook nog gewoon belasting naast 'al dat inkomen uit hacks' 8)7

Die hacks helpen vast wel iets maar totaal niet de omvang van wat jij hier beweert (zonder enige bron of onderbouwing)...

https://www.bnr.nl/nieuws...r-lage-olie-en-gasprijzen
Het Russische ministerie van Financiën heeft het verwachte begrotingstekort van Rusland dit jaar verdrievoudigd.

[Reactie gewijzigd door watercoolertje op 18 augustus 2025 15:01]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq