Hackers vallen Russische ontwikkelaars aan met malware voor cryptovaluta Sol

Onbekende aanvallers richten zich met een hackcampagne op Russische ontwikkelaars die de cryptomunt Sol gebruiken. Er is kwaadaardige code ontdekt die gegevens steelt, zoals wachtwoorden en inloggegevens voor wisselbeurzen voor cryptovaluta.

Securityonderzoekers van het Canadese bedrijf Safety hebben een nieuwe hackcampagne ontdekt die gericht is op ontwikkelaars die de cryptovaluta Sol gebruiken of eraan werken. Deze virtuele munt is gebaseerd op het blockchainplatform Solana en zou populair zijn in Russische hackerskringen, waar deze onder meer kan dienen als betaalmiddel bij ransomwareaanvallen. De ontdekte malware scant diverse mappen op geïnfecteerde computers en zoekt daarbij onder meer naar bestanden met wachtwoorden, inloggegevens voor cryptovalutabeurzen en tokens voor cryptovalutawallets.

De zogeheten Solana-Scan-aanval bestaat uit kwaadaardige JavaScript-code in de vorm van npm-packages. Softwareontwikkelaars kunnen die packages downloaden om te gebruiken als functionele elementen in code die zij zelf schrijven. De kwaadaardige Solana-Scan-packages zijn opgedoken in de centrale npm-database Registry. Ze doen zich voor als scantools om sdk-componenten voor Solana te detecteren.

"Waarom je daar een 'scanner' voor nodig hebt, weten we niet", blogt hoofdonderzoeker Paul McCarty van Safety. Dat securitybedrijf is gespecialiseerd in het beveiligen van softwaresupplychains, wat ook npm-packages omvat. Deze voorverpakte brokken JavaScript-code kunnen handig zijn, maar ook een gevaar vormen. Onder meer de Owasp Foundation waarschuwt voor de risico's van npm-packages en geeft best practices voor veilig npm-gebruik.

Cybercriminelen hebben eerder al npm misbruikt voor hackaanvallen, onder meer om cryptovaluta te stelen. Aanvallers doen dit vaak door npm-packages te compromitteren. In het geval van Solana-Scan zijn legitieme packages niet voorzien van malware; de kwaadaardige packages zijn volledig door de aanvallers zelf gemaakt. De code vertoont tekenen dat deze is geschreven met behulp van AI-tools, zoals Claude van Anthropic.

Het is vooralsnog niet bekend wie er achter deze hackcampagne zit. Safety merkt op dat een command-and-controlserver (C2-server) voor aansturing van de malware in de Verenigde Staten wordt gehost. "Is dit een staatsgesteunde actor?", vraagt securityonderzoeker McCarty zich openlijk af in de blogpost. Deze suggestie krijgt steun van het feit dat, gekeken naar IP-adressen, de meeste slachtoffers zich in Rusland lijken te bevinden.

Door Jasper Bakker

Nieuwsredacteur

18-08-2025 • 13:57

20

Reacties (20)

Sorteer op:

Weergave:

Ik vind dat de conclusie dat deze aanval zich richt op Rusland wel héél erg kort door de bocht en zwak onderbouwd.

Dusdanig zwak dat Tweakers dit eigenlijk niet in de titel zou moeten hebben.
  1. De auteur heeft de C&C server gevonden, deze laat logs zien van de laatste 10 bestanden die binnen zijn gekomen, inclusief ip van het slachtoffer.
  2. Het screenshot [1] dat hij heeft geplaatst toont 4 files die allemaal van hetzelfde ip adres vandaan komen. Dit adres komt inderdaad uit Moskou.
  3. Als je nu naar de logs kijkt, zie je 10 files van een ander slachtoffer, die uit de US komt.
Dat is alles........ meer niet. Hij heeft de code geanalyseerd, daar stond (blijkbaar [2]) niks specifieks in dat mensen in Rusland als doelwit kiest. De beschrijving van het NPM package? In het Engels. De slachtoffers? Uit meerdere landen.

Ook de rest van de beweringen zijn heel zwak:
  1. er staan emoji's in de code? Moet wel Claude code zijn
  2. De C2 server staat in de US? Staatsgesteunde actor.....
Ik zeg het niet vaak, maar dit is wel echt sensatiezoekerij van deze onderzoeker, waar Tweakers niet in zou moeten meegaan.
offtopic:
[1] Ik vind het ook niet zo netjes dat hij de ip adressen herkenbaar in de screenshots laat staan

[2] Het is een aanname, ik heb zelf de code niet gelezen, maar ik ga ervanuit dat de auteur het wel gemeld had als er code in stond die specifiek Russen als doelwit nemen

[Reactie gewijzigd door svane op 18 augustus 2025 15:01]

Inderdaad. Daarnaast gaat het ook niet om een "malware voor Sol". Het gaat om een npm package met wat JavaScript dat op zoek gaat naar passwords in je home directory. De enige link met Sol is dat de package zich voordoet als iets in het Sol ecosysteem, maar het doet daar weinig mee en stelt verder ook niet veel voor. Het is niet eens een supply chain attack want dit is een nieuwe package die je zelf moet installeren zonder dat eigenlijk duidelijk is waarom je dat zou willen. Wat meer kritische berichtgeving zou op zijn plaats zijn.
Volgens mij wordt er in het artikel wel degelijk een vraag gesteld bij het nut en de noodzaak voor dit mom-package. Nota bene door de onderzoeker zelf.
Tja dit wordt natuurlijk alleen maar meer. Ik houd nu een paar jaar een bepaalde programmeertaal in de gaten, en op Reddit vind ik het altijd heel leuk om door nieuwe projecten van andere ontwikkelaars te gaan om zo te zien hoe zij problemen aanpakken/oplossen.

Dat is er tegenwoordig niet meer bij, (bijna) alle aankondigingen zijn AI slop en werken soms niet eens. Met agentic development kan je nu gewoon een computer laten pruttelen tot er wat uitkomt wat je kan gebruiken, en dat wordt natuurlijk ook direct opgepakt door criminelen. Het enge is dat goedwillende “developers” (vibecoders zijn geen engineers) zomaar hun IDE met allerlei vage MCP servers laten connecten en LLMs bekijken gewoon op basis van beschrijvingen wat “handige” dependencies zijn. Dus ja, als Claude iets tegenkomt wat “scan sdks voor solana!!” tegen komt in zijn zoektocht en evaluatie, dna kan die dat zomaar voor je downloaden, integreren en uitvoeren.

ik kijk met grote bezorgdheid naar mijn collega’s die gewoon auto-approve op agentic development tools aanzetten. Het wordt echt verschrikkelijk.
Tja dit wordt natuurlijk alleen maar meer.
Helaas wel ja, als je een beetje verdiept in de manier van payload dropping en de slinksheid van de exploits gecombineerd met creatieve lagen obfuscatie is het echt een mijnenveld. Je wordt er niet vrolijk van en de huidige AV's en vooral OS'en zijn er simpelweg niet tegen opgewassen. Ook helpt het niet dat veel omgevingen nog bar weinig doen om sessies beter te beschermen tegen token hijacks. Gezien die MFA volledig buiten spel zetten.

Er zal rap echt iets drastisch moeten veranderen in hoe we met computers werken om het weer veilig te krijgen. Blind vertrouwen is in ieder geval niet meer mogelijk. Als ontwikkelaar je systeem airgappen of op z'n minst volledig containeriseren (VM) en alle externe frameworks/libraries regel voor regel nakijken is op dit moment bijna noodzaak geworden. Dat laatste is bij deze ontwikkelaar in ieder geval niet gebeurd.
Het is vooralsnog niet bekend wie er achter deze hackcampagne zit. Safety merkt op dat een command-and-controlserver (C2-server) voor aansturing van de malware in de Verenigde Staten wordt gehost. "Is dit een staatsgesteunde actor?", vraagt securityonderzoeker McCarty zich openlijk af in de blogpost. Deze suggestie krijgt steun van het feit dat, gekeken naar IP-adressen, de meeste slachtoffers zich in Rusland lijken te bevinden.
Wat een zwakke beredenering. Iedereen kan toch overal een server of VPN aanschaffen of mis ik iets?
Ja, dat kan maar veel software kan al zien of je een vpn gebruikt of niet.
Tja, een oud gezegde vertelt het al: "je moet de vijand met zijn eigen wapens verslaan"......
I am wondering who it can be???

Vermoedelijk Amerika of vriendjes van Amerika.

China, Korea etc zullen het niet zijn, vooral niet nu met BRICS

[Reactie gewijzigd door theduke1989 op 18 augustus 2025 14:07]

Vergeet Oekraiense hackers niet.
dat zijn vriendjes of indirecte vriendjes van Amerika.

Want amerika levert weer wapens aan Duitsland etc, of andere landen in europa die hele goede vriendjes zijn met Amerika. Het zit veel dieper dan je denkt.

Indirect is een grote scope voor Amerika, want wapens moeten verkocht worden, direct of indirect.
Volg je het nieuws?? Hoezo, vriendjes?? Trump zit toch echt op een koers dat alles waar de afgelopen 11 jaar voor gevochten is, voor niks is en moet worden weggegeven. En dat er als dank heel veel geld aan ze gegeven moet worden.

Ukraine en de vs hebben op zijn best een moeilijke relatie.

En, eerlijk, ik hoop dat de vs er vanavond achter komt dat ze alleen staan.
Wat is er nu met BRiCS dan? En welke Korea? Alsof China Rusland een zorg zal wezen.
Je kan nu wel stellen dat " cyberwar" een feit is.

Vraag mijzelf af of het allemaal " clean" blijft of dat er toch een " ouderwetse militaire clash" komt.
Die roven voornamelijk Bitcoin faults leeg....

Zo kun je de blokkade mooi omzeilen.


Dit is meer de hacker gehackt.....

[Reactie gewijzigd door Tourmaline op 18 augustus 2025 14:45]

Russische hakkers stelen genoeg van westerse werelden om daar mee de Russische economie en daar mee ook de oorlog met Oekraïne in stand te houden.
Vandaar dat er een enorm begrotingstekort is, en dan betalen alle russen ook nog gewoon belasting naast 'al dat inkomen uit hacks' 8)7

Die hacks helpen vast wel iets maar totaal niet de omvang van wat jij hier beweert (zonder enige bron of onderbouwing)...

https://www.bnr.nl/nieuws...r-lage-olie-en-gasprijzen
Het Russische ministerie van Financiën heeft het verwachte begrotingstekort van Rusland dit jaar verdrievoudigd.

[Reactie gewijzigd door watercoolertje op 18 augustus 2025 15:01]

Op dit item kan niet meer gereageerd worden.