L’article publié par Safety CLI Cybersecurity Inc. le 2 juin 2025, détaille une campagne de malware ciblant l’écosystème de la cryptomonnaie Solana. Entre le 4 et le 24 mai 2025, un acteur malveillant a publié 11 packages Python malveillants sur le registre PyPI, conçus pour voler du code source, des cryptomonnaies et d’autres données sensibles.
La campagne s’est déroulée en quatre itérations distinctes, chacune utilisant un payload différent pour exfiltrer des données vers des adresses IP spécifiques hébergées en Russie. Le premier payload, prices.py, a été utilisé dans six packages publiés entre le 4 et le 20 mai, exfiltrant des fichiers Python vers une adresse IP spécifique. Les itérations suivantes ont introduit de nouveaux fichiers payload (helpers.py, coins.py, markets.py) avec des destinations d’exfiltration différentes.
Le dernier package malveillant, solana-live, publié par un utilisateur PyPI nommé “george_bull”, se distingue par sa capacité à cibler les Jupyter Notebooks utilisés par les développeurs, exfiltrant l’historique complet d’exécution des notebooks, potentiellement riche en propriété intellectuelle et informations sensibles telles que des clés API et des identifiants de connexion.
L’article souligne l’efficacité de l’équipe de sécurité de PyPI qui a rapidement retiré les packages malveillants après notification. Safety CLI Cybersecurity Inc. a également mis en avant sa capacité à détecter ces menaces grâce à son système de détection unique, soulignant l’importance de la vigilance dans la sécurité de la chaîne d’approvisionnement logicielle.
🔗 Source originale : https://www.getsafety.com/blog-posts/solana-drainer