Výskumníci odhalili dva balíčky obsahujúce infostealer.
Obete sú zjavne ruské a útočníci americkí.
To viedlo výskumníkov k špekuláciám, či cieľom neboli ruskí krypto hackeri.
Na platforme npm package manager boli nedávno objavené dva škodlivé balíčky, ktoré cielili na vývojárov softvéru v ekosystéme Solana.
Objav, atribúcia a potenciálne ciele malvéru však spôsobili, že výskumníci špekulujú, či nešlo o štátom sponzorovaný útok.
Solana je blockchain navrhnutý pre decentralizované aplikácie a kryptomeny. V mnohých ohľadoch sa podobá na Ethereum, preto sa v krypto komunite často označuje ako „zabijak Etherea“.
Cielenie na vývojárov? Alebo hackerov? Alebo oboje?
Bezpečnostní výskumníci zo spoločnosti Safety nedávno našli dva balíčky npm: „solana-pump-test“ a „solana-spl-sdk“.
Oba boli odoslané rovnakým autorom a oba obsahovali identický kód – a podľa Safety, keď boli tieto balíčky nainštalované, spustili skripty, ktoré exfiltrovali citlivé informácie z napadnutých zariadení, vrátane súkromných kľúčov, ktoré útočníkom umožnili prístup ku krypto fondom.
Safety tvrdí, že obete – vývojári, ktorí si stiahli a spustili infostealery – sa nachádzali v Rusku.
Na druhej strane, zdá sa, že útočníci sa nachádzajú v Spojených štátoch na základe IP adries, kam boli exfiltrované údaje prenášané.
Tieto skutočnosti stačili na to, aby sa výskumníci pýtali, či nejde o hrozbu podporovanú USA zameranú na Rusko, pravdepodobne v dôsledku súčasných napätých geopolitických vzťahov medzi oboma mocnosťami.
Platforma npm však nie je ruská ani spravovaná Rusmi. Platformu npm prevádzkuje spoločnosť npm, Inc., ktorá bola pôvodne nezávislá, ale teraz je dcérskou spoločnosťou GitHubu, ktorý vlastní spoločnosť Microsoft.
Napriek tomu má Rusko viacero štátom sponzorovaných a pridružených aktérov hrozieb, o ktorých je známe, že sa zameriavajú na používateľov kryptomien alebo veľké podniky, ktoré sú potom nútené platiť výkupné v kryptomenách. Skupiny ako Evil Corp, Sandworm a APT28 (Fancy Bear) boli spojené s kampaňami, ktoré buď exfiltrujú kryptomeny, alebo nasadzujú ransomvér na finančný zisk.
Preto nie je príliš prehnané špekulovať, či tento útok nebol zameraný na krypto zločincov, ako aj na bežných krypto vývojárov.
