Selon GetSafety (billet référencé), des chercheurs en sécurité décrivent une campagne baptisée « Solana-Scan » qui abuse de l’écosystème NPM pour diffuser un infostealer ciblant l’écosystème Solana, avec un accent sur des développeurs crypto russes.
• Nature de l’attaque : campagne d’empoisonnement de la chaîne d’approvisionnement NPM utilisant du JavaScript fortement obfusqué et des techniques avancées d’interaction avec NPM. Les chercheurs notent des motifs de code potentiellement générés par IA.
• Composants malveillants : trois paquets NPM — solana-pump-test, solana-spl-sdk, solana-pump-sdk — embarquent une charge en deux étapes : universal-launcher.js collecte l’environnement puis lance index.js en arrière‑plan pour la persistance. La charge principale scanne les répertoires utilisateurs à la recherche de fichiers .env, .json, .one, .txt et détecte des tokens crypto via des regex.
• Exfiltration et infrastructure : les données collectées (portefeuilles, identifiants, fichiers sensibles) sont exfiltrées en JSON vers un serveur C2 209.159.159.198:3000. La campagne ciblerait spécifiquement des développeurs russes, tandis que l’infrastructure de commande et contrôle est hébergée aux États‑Unis.
• Portée et sophistication : l’attaque met en avant des techniques sophistiquées, combinant obfuscation, persistance par processus en arrière‑plan, et manipulation de l’écosystème NPM, suggérant une opération structurée.
Type d’article et objectif : analyse de menace visant à documenter une campagne active, ses artefacts malveillants et ses mécanismes techniques.
🧠 TTPs et IOCs détectés
TTPs
T1195.002 - Supply Chain Compromise: Compromise Software Dependencies and Development Tools, T1027 - Obfuscated Files or Information, T1059.007 - Command and Scripting Interpreter: JavaScript, T1057 - Process Discovery, T1071.001 - Application Layer Protocol: Web Protocols, T1070.004 - Indicator Removal on Host, T1078 - Valid Accounts, T1041 - Exfiltration Over C2 Channel, T1055 - Process Injection, T1547.001 - Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
IOCs
209.159.159.198:3000, solana-pump-test, solana-spl-sdk, solana-pump-sdk
🔗 Source originale : https://getsafety.com/blog-posts/infostealer-targets-russian-crypto-developers