Solana FakeFix: 25 pacchetti npm e PyPI dannosi si spacciano per versioni stabili
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Una campagna di pacchetti dannosi sta prendendo di mira gli sviluppatori Solana attraverso librerie npm e PyPI con typosquatting promosse come correzioni di build stabile. Il malware abusa dell’esecuzione del ciclo di vita del pacchetto e degli hook al momento dell’importazione per rubare segreti del portafoglio, credenziali cloud e chiavi SSH da ambienti infetti. Alcuni esemplari si espandono oltre il furto agendo come veri e propri backdoor tramite comando e controllo basato su Telegram o distribuendo caricamenti focalizzati su Windows costruiti attorno a Deno.
Indagine
I ricercatori di JFrog Security hanno scoperto due operazioni separate ma correlate. La prima, monitorata come Solana FakeFix, usava pacchetti stile SDK contraffatti per raccogliere segreti sensibili da sviluppatori e sistemi di costruzione. La seconda usava pacchetti npm a tema CMS per caricare eseguibili Windows. La loro analisi ha mostrato che il codice dannoso veniva spesso aggiunto a librerie altrimenti funzionali, aiutando i pacchetti a sembrare legittimi mentre recuperavano silenziosamente payload di secondo stadio in modo dinamico tramite Deno.
Mitigazione
Le organizzazioni dovrebbero rimuovere tutti i pacchetti interessati dalle workstation degli sviluppatori, dalle pipeline CI/CD e dalle cache dei pacchetti interni. Qualsiasi credenziale potenzialmente esposta dovrebbe essere ruotata immediatamente, incluse chiavi del portafoglio Solana, chiavi SSH, credenziali AWS e token GitHub. I team di sicurezza dovrebbero anche controllare gli host per metodi di persistenza come chiavi di esecuzione del Registro, attività pianificate e modifiche ai profili shell.
Risposta
I difensori dovrebbero disinstallare i pacchetti dannosi identificati e rivedere i file di lock delle dipendenze per librerie non autorizzate o inaspettate. Tutti i segreti esposti dovrebbero essere ruotati immediatamente e qualsiasi criptovaluta archiviata in portafogli potenzialmente compromessi dovrebbe essere trasferita a nuovi indirizzi fidati. I runner CI e i sistemi degli sviluppatori dovrebbero quindi essere ricostruiti da immagini pulite per garantire che non rimangano backdoor nascoste o meccanismi di persistenza.
Flusso di Attacco
Rilevamenti
Punti di Persistenza Possibili [ASEPs – Software/NTUSER Hive] (tramite evento registro)
Visualizza
Conhost LOLBAS (tramite cmdline)
Visualizza
Possibile Abuso di Telegram come Canale di Comando e Controllo (tramite dns_query)
Visualizza
Possibili Comunicazioni C2 su HTTP Direct IP con Porta Insolita (tramite proxy)
Visualizza
IOC (SourceIP) da rilevare: Solana FakeFix: 25 Pacchetti npm e PyPI Malevolenti Attirano Sviluppatori con False Build Stabili
Visualizza
IOC (DestinationIP) da rilevare: Solana FakeFix: 25 Pacchetti npm e PyPI Malevolenti Attirano Sviluppatori con False Build Stabili
Visualizza
Rilevamento di Attività di Pacchetto Malevolente Coinvolgente Payload Dinamico Remoto e C2 tramite Telegram [Connessione di Rete Windows]
Visualizza
Esecuzione di conhost.exe in Modalità Senza Testa per Esecuzione di Script Malevoli [Creazione di Processo Windows]
Visualizza
Rilevamento di Persistenza Chiave Registro Loader CMS Windows [Evento Registro Windows]
Visualizza
Rilevamento di Persistenza Hook nel Profilo PowerShell e Esecuzione Nascosta di PowerShell [Windows Powershell]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Preliminare di Telemetria e Baseline deve essere passato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare l’esatta telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.
-
Narrazione e Comandi dell’Attacco: L’attaccante ha ottenuto l’accesso iniziale e intende mantenere un appoggio. Decidono di usare un payload basato su Deno. Per nascondere l’esecuzione del terminale, usano il
--headlessflag perconhost.exe. Eseguono un comando che modifica la chiave di registroHKCUSoftwareMicrosoftWindowsCurrentVersionRunaggiungendo un valore denominatoDenoUpdaterche esegueconhost.exe --headless deno.exe [malicious_script]. Questo assicurerà che il payload venga eseguito silenziosamente in background al login dell’utente. -
Script di Test di Regressione:
# Simulazione di persistenza basata su Deno tramite chiave di Registro $RegistryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $Name = "DenoUpdater" $Value = "C:WindowsSystem32conhost.exe --headless C:UsersPublicdeno.exe malicious_payload.js" Write-Host "[*] Simulando meccanismo di persistenza..." New-ItemProperty -Path $RegistryPath -Name $Name -Value $Value -PropertyType String -Force Write-Host "[+] Chiave di registro creata. Controlla SIEM per avviso." -
Comandi di Pulizia:
# Pulisci la persistenza simulata $RegistryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $Name = "DenoUpdater" if (Get-ItemProperty -Path $RegistryPath -Name $Name -ErrorAction SilentlyContinue) { Remove-ItemProperty -Path $RegistryPath -Name $Name -Force Write-Host "[+] Pulizia completata. Chiave di registro rimossa." } else { Write-Host "[-] Pulizia fallita: Chiave di registro non trovata." }