Onbekende aanvallers richten zich met een hackcampagne op Russische ontwikkelaars die de cryptomunt Sol gebruiken. Er is kwaadaardige code ontdekt die gegevens steelt, zoals wachtwoorden en inloggegevens voor wisselbeurzen voor cryptovaluta.
Securityonderzoekers van het Canadese bedrijf Safety hebben een nieuwe hackcampagne ontdekt die gericht is op ontwikkelaars die de cryptovaluta Sol gebruiken of eraan werken. Deze virtuele munt is gebaseerd op het blockchainplatform Solana en zou populair zijn in Russische hackerskringen, waar deze onder meer kan dienen als betaalmiddel bij ransomwareaanvallen. De ontdekte malware scant diverse mappen op geïnfecteerde computers en zoekt daarbij onder meer naar bestanden met wachtwoorden, inloggegevens voor cryptovalutabeurzen en tokens voor cryptovalutawallets.
De zogeheten Solana-Scan-aanval bestaat uit kwaadaardige JavaScript-code in de vorm van npm-packages. Softwareontwikkelaars kunnen die packages downloaden om te gebruiken als functionele elementen in code die zij zelf schrijven. De kwaadaardige Solana-Scan-packages zijn opgedoken in de centrale npm-database Registry. Ze doen zich voor als scantools om sdk-componenten voor Solana te detecteren.
"Waarom je daar een 'scanner' voor nodig hebt, weten we niet", blogt hoofdonderzoeker Paul McCarty van Safety. Dat securitybedrijf is gespecialiseerd in het beveiligen van softwaresupplychains, wat ook npm-packages omvat. Deze voorverpakte brokken JavaScript-code kunnen handig zijn, maar ook een gevaar vormen. Onder meer de Owasp Foundation waarschuwt voor de risico's van npm-packages en geeft best practices voor veilig npm-gebruik.
Cybercriminelen hebben eerder al npm misbruikt voor hackaanvallen, onder meer om cryptovaluta te stelen. Aanvallers doen dit vaak door npm-packages te compromitteren. In het geval van Solana-Scan zijn legitieme packages niet voorzien van malware; de kwaadaardige packages zijn volledig door de aanvallers zelf gemaakt. De code vertoont tekenen dat deze is geschreven met behulp van AI-tools, zoals Claude van Anthropic.
Het is vooralsnog niet bekend wie er achter deze hackcampagne zit. Safety merkt op dat een command-and-controlserver (C2-server) voor aansturing van de malware in de Verenigde Staten wordt gehost. "Is dit een staatsgesteunde actor?", vraagt securityonderzoeker McCarty zich openlijk af in de blogpost. Deze suggestie krijgt steun van het feit dat, gekeken naar IP-adressen, de meeste slachtoffers zich in Rusland lijken te bevinden.