SOC Prime Bias: Critico

12 Jun 2026 18:47 UTC

Solana FakeFix: 25 pacchetti npm e PyPI dannosi si spacciano per versioni stabili

Author Photo
SOC Prime Team linkedin icon Segui
Solana FakeFix: 25 pacchetti npm e PyPI dannosi si spacciano per versioni stabili
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

Una campagna di pacchetti dannosi sta prendendo di mira gli sviluppatori Solana attraverso librerie npm e PyPI con typosquatting promosse come correzioni di build stabile. Il malware abusa dell’esecuzione del ciclo di vita del pacchetto e degli hook al momento dell’importazione per rubare segreti del portafoglio, credenziali cloud e chiavi SSH da ambienti infetti. Alcuni esemplari si espandono oltre il furto agendo come veri e propri backdoor tramite comando e controllo basato su Telegram o distribuendo caricamenti focalizzati su Windows costruiti attorno a Deno.

Indagine

I ricercatori di JFrog Security hanno scoperto due operazioni separate ma correlate. La prima, monitorata come Solana FakeFix, usava pacchetti stile SDK contraffatti per raccogliere segreti sensibili da sviluppatori e sistemi di costruzione. La seconda usava pacchetti npm a tema CMS per caricare eseguibili Windows. La loro analisi ha mostrato che il codice dannoso veniva spesso aggiunto a librerie altrimenti funzionali, aiutando i pacchetti a sembrare legittimi mentre recuperavano silenziosamente payload di secondo stadio in modo dinamico tramite Deno.

Mitigazione

Le organizzazioni dovrebbero rimuovere tutti i pacchetti interessati dalle workstation degli sviluppatori, dalle pipeline CI/CD e dalle cache dei pacchetti interni. Qualsiasi credenziale potenzialmente esposta dovrebbe essere ruotata immediatamente, incluse chiavi del portafoglio Solana, chiavi SSH, credenziali AWS e token GitHub. I team di sicurezza dovrebbero anche controllare gli host per metodi di persistenza come chiavi di esecuzione del Registro, attività pianificate e modifiche ai profili shell.

Risposta

I difensori dovrebbero disinstallare i pacchetti dannosi identificati e rivedere i file di lock delle dipendenze per librerie non autorizzate o inaspettate. Tutti i segreti esposti dovrebbero essere ruotati immediatamente e qualsiasi criptovaluta archiviata in portafogli potenzialmente compromessi dovrebbe essere trasferita a nuovi indirizzi fidati. I runner CI e i sistemi degli sviluppatori dovrebbero quindi essere ricostruiti da immagini pulite per garantire che non rimangano backdoor nascoste o meccanismi di persistenza.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo Preliminare di Telemetria e Baseline deve essere passato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare l’esatta telemetria prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrazione e Comandi dell’Attacco: L’attaccante ha ottenuto l’accesso iniziale e intende mantenere un appoggio. Decidono di usare un payload basato su Deno. Per nascondere l’esecuzione del terminale, usano il --headless flag per conhost.exe. Eseguono un comando che modifica la chiave di registro HKCUSoftwareMicrosoftWindowsCurrentVersionRun aggiungendo un valore denominato DenoUpdater che esegue conhost.exe --headless deno.exe [malicious_script]. Questo assicurerà che il payload venga eseguito silenziosamente in background al login dell’utente.

  • Script di Test di Regressione:

    # Simulazione di persistenza basata su Deno tramite chiave di Registro
    $RegistryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $Name = "DenoUpdater"
    $Value = "C:WindowsSystem32conhost.exe --headless C:UsersPublicdeno.exe malicious_payload.js"
    
    Write-Host "[*] Simulando meccanismo di persistenza..."
    New-ItemProperty -Path $RegistryPath -Name $Name -Value $Value -PropertyType String -Force
    Write-Host "[+] Chiave di registro creata. Controlla SIEM per avviso."
  • Comandi di Pulizia:

    # Pulisci la persistenza simulata
    $RegistryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $Name = "DenoUpdater"
    
    if (Get-ItemProperty -Path $RegistryPath -Name $Name -ErrorAction SilentlyContinue) {
        Remove-ItemProperty -Path $RegistryPath -Name $Name -Force
        Write-Host "[+] Pulizia completata. Chiave di registro rimossa."
    } else {
        Write-Host "[-] Pulizia fallita: Chiave di registro non trovata."
    }