SOC Prime Bias: Kritisch

12 Jun 2026 18:47 UTC

Solana FakeFix: 25 Bösartige npm- und PyPI-Pakete geben sich als stabile Versionen aus

Author Photo
SOC Prime Team linkedin icon Folgen
Solana FakeFix: 25 Bösartige npm- und PyPI-Pakete geben sich als stabile Versionen aus
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Eine bösartige Paketkampagne zielt auf Solana-Entwickler durch typosquattete npm- und PyPI-Bibliotheken, die als stabile Build-Fixes beworben werden. Die Malware missbraucht Paketlebenszyklus-Ausführungen und Importzeit-Hooks, um Wallet-Geheimnisse, Cloud-Anmeldedaten und SSH-Schlüssel aus infizierten Umgebungen zu stehlen. Einige Proben gehen über den Diebstahl hinaus und agieren als vollständige Hintertüren durch Telegram-basierte Kommando-und-Kontrolle oder durch den Einsatz von Windows-fokussierten Loadern, die um Deno herum aufgebaut sind.

Untersuchung

Sicherheitsforscher von JFrog entdeckten zwei separate, aber verwandte Operationen. Die erste, verfolgt als Solana FakeFix, nutzte gefälschte Pakete im SDK-Stil, um sensible Geheimnisse von Entwicklern und Build-Systemen zu sammeln. Die zweite verwendete CMS-themenbezogene npm-Pakete, um Windows-Programme zu laden. Ihre Analyse zeigte, dass der bösartige Code oft an sonst funktional aussehende Bibliotheken angefügt wurde, was den Paketen half, legitim zu erscheinen und gleichzeitig leise zweite Stufe-Nutzlasten dynamisch durch Deno abzurufen.

Minderung

Organisationen sollten alle betroffenen Pakete von Entwicklerarbeitsplätzen, CI/CD-Pipelines und internen Paket-Caches entfernen. Jegliche potenziell exponierten Anmeldedaten sollten sofort rotiert werden, einschließlich Solana Wallet-Schlüssel, SSH-Schlüssel, AWS-Anmeldedaten und GitHub-Token. Sicherheitsteams sollten auch Hosts auf Persistenzmethoden wie Registry Run Keys, geplante Aufgaben und Shell-Profilmodifikationen überprüfen.

Reaktion

Verteidiger sollten die identifizierten bösartigen Pakete deinstallieren und Abhängigkeits-Log-Dateien auf unautorisierte oder unerwartete Bibliotheken überprüfen. Alle exponierten Geheimnisse sollten sofort rotiert werden, und jegliche Kryptowährung, die in potenziell kompromittierten Wallets gespeichert ist, sollte auf neue vertrauenswürdige Adressen übertragen werden. CI-Runner und Entwickler-Systeme sollten dann aus sauberen Images neu erstellt werden, um sicherzustellen, dass keine versteckten Hintertüren oder Persistenzmechanismen verbleiben.

Angriffsfluss

Simulation Ausführung

Voraussetzung: Der Telemetrie- und Basislinientest muss bestanden werden.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifer-Technik (TTP), die entworfen wurde, um die Erkennungsregel auszulösen. Die Befehle und Narrative MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriff-Narrativ & Befehle: Der Angreifer hat sich ersten Zugriff verschafft und beabsichtigt, Fuß zu fassen. Sie entscheiden sich für die Verwendung einer Deno-basierten Nutzlast. Um die Ausführung des Terminals zu verbergen, verwenden sie den --headless Schalter für conhost.exe. Sie führen einen Befehl aus, der den HKCUSoftwareMicrosoftWindowsCurrentVersionRun Registry-Schlüssel modifiziert und einen Wert namens DenoUpdater hinzufügt, der conhost.exe --headless deno.exe [malicious_script]ausführt. Dies stellt sicher, dass die Nutzlast beim Benutzerlogin leise im Hintergrund läuft.

  • Regressionstests-Skript:

    # Simulation der Deno-basierten Persistenz über Registry Run Key
    $RegistryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $Name = "DenoUpdater"
    $Value = "C:WindowsSystem32conhost.exe --headless C:UsersPublicdeno.exe malicious_payload.js"
    
    Write-Host "[*] Simulation des Persistenzmechanismus..."
    New-ItemProperty -Path $RegistryPath -Name $Name -Value $Value -PropertyType String -Force
    Write-Host "[+] Registry-Schlüssel erstellt. Überprüfen Sie SIEM auf Alarm."
  • Bereinigungsbefehle:

    # Bereinigung der simulierten Persistenz
    $RegistryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $Name = "DenoUpdater"
    
    if (Get-ItemProperty -Path $RegistryPath -Name $Name -ErrorAction SilentlyContinue) {
        Remove-ItemProperty -Path $RegistryPath -Name $Name -Force
        Write-Host "[+] Bereinigung abgeschlossen. Registry-Schlüssel entfernt."
    } else {
        Write-Host "[-] Bereinigung fehlgeschlagen: Registry-Schlüssel nicht gefunden."
    }