SOC Prime Bias: Критичний

12 Jun 2026 18:47 UTC

Solana FakeFix: 25 шкідливих пакетів npm і PyPI маскуються під стабільні версії

Author Photo
SOC Prime Team linkedin icon Стежити
Solana FakeFix: 25 шкідливих пакетів npm і PyPI маскуються під стабільні версії
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Кампанія з поширення шкідливих пакетів націлена на розробників Solana через бібліотеки npm і PyPI з помилковими назвами, просуваючи їх як стабільні виправлення. Шкідливе програмне забезпечення зловживає виконанням життєвого циклу пакету та гачками імпорту для крадіжки секретів гаманців, хмарних облікових даних та SSH ключів з уражених середовищ. Деякі зразки також розширюють свою діяльність за межі крадіжки, діючи як повноцінні бекдори через управління командами та контроль через Telegram або розгортаючи завантажувачі, орієнтовані на Windows, побудовані на основі Deno.

Розслідування

Дослідники безпеки JFrog виявили дві окремі, але пов’язані операції. Перша, відома як Solana FakeFix, використовувала підроблені пакети стиль SDK для збору конфіденційних секретів від розробників та систем збірки. Друга використовувала пакети npm, тематично оформлені як CMS, для завантаження виконуваних файлів Windows. Їх аналіз показав, що шкідливий код часто додавався до бібліотек, які виглядали функціонуючими, допомагаючи їм здаватися легітимними, у той же час мовчки завантажуючи другорядні корисні навантаження динамічно через Deno.

Пом’якшення

Організації повинні видалити всі уражені пакети з робочих станцій розробників, CI/CD конвеєрів та внутрішніх кешів пакетів. Будь-які потенційно скомпрометовані облікові дані повинні бути негайно змінені, включаючи ключі гаманця Solana, ключі SSH, облікові дані AWS та токени GitHub. Команди безпеки повинні також перевірити хости на наявність методів персистенції, таких як ключі запуску Registry Run, заплановані завдання та модифікації профілю оболонки.

Відповідь

Захисники повинні видалити ідентифіковані шкідливі пакети та перевірити файли залежностей на наявність несанкціонованих або несподіваних бібліотек. Усі викриті секрети повинні бути негайно замінені, а будь-яка криптовалюта, зберігана в потенційно скомпрометованих гаманцях, повинна бути переведена на нові довірені адреси. Потім системи CI і розробників мають бути відновлені з чистих образів, щоб забезпечити відсутність прихованих бекдорів або механізмів зберігання.

Потік атаки

Виявлення

Можливі точки персистенції [ASEPs – ПЗ/Реєстр NTUSER] (через подію реєстру)

Команда SOC Prime
12 червня 2026 р.

LOLBAS Conhost (через командний рядок)

Команда SOC Prime
12 червня 2026 р.

Можливе зловживання Telegram як Каналом Управління і Зв’язку (через dns-запит)

Команда SOC Prime
12 червня 2026 р.

Можливі C2 комунікації через HTTP на Прямий IP з Незвичайним Портом (через проксі)

Команда SOC Prime
12 червня 2026 р.

IOC (джерело IP) для виявлення: Solana FakeFix: 25 шкідливих пакетів npm і PyPI, що заманюють розробників під виглядом стабільних виправлень

Правила штучного інтелекту SOC Prime
12 червня 2026 р.

IOC (призначення IP) для виявлення: Solana FakeFix: 25 шкідливих пакетів npm і PyPI, що заманюють розробників під виглядом стабільних виправлень

Правила штучного інтелекту SOC Prime
12 червня 2026 р.

Виявлення злочинної активності пакетів з віддаленим динамічним навантаженням і Telegram C2 [Windows Network Connection]

Правила штучного інтелекту SOC Prime
12 червня 2026 р.

Виконання conhost.exe в безголовому режимі для шкідливого виконання скриптів [Створення процесу Windows]

Правила штучного інтелекту SOC Prime
12 червня 2026 р.

Виявлення персистенції ключа реєстру CMS Windows Loader [Подія реєстру Windows]

Правила штучного інтелекту SOC Prime
12 червня 2026 р.

Виявлення персистенції гачок профілю PowerShell і прихованого виконання PowerShell [Windows Powershell]

Правила штучного інтелекту SOC Prime
12 червня 2026 р.

Тестове виконання

Передумова: Перевірка телеметрії та базова перевірка перед польотом повинні бути успішно пройдені.

Раціональність: Цей розділ детально описує точне виконання техніки супротивника (TTP), призначеної для виклику правила виявлення. Команди й розповідь МАЄТЬСЯ відображати ідентифіковані TTP і націлені на генерацію точної телеметрії, очікуваної логікою виявлення. Абстрактні або не пов’язані приклади приведуть до неправильної діагностики.

  • Пояснення атаки та команди: Атакуючий отримав початковий доступ і має намір зберегти свою присутність. Вони вирішили використовувати навантаження на основі Deno. Щоб приховати виконання терміналу, вони використовують --headless флаг для conhost.exe. Вони виконують команду, яка змінює HKCUSoftwareMicrosoftWindowsCurrentVersionRun ключ реєстру, додаючи значення під назвою DenoUpdater , що виконує conhost.exe --headless deno.exe [malicious_script]. Це забезпечить, що навантаження буде працювати незауважено у фоні при вході користувача.

  • Сценарій тестування регресії:

    # Імітація Deno-персистенції через ключ реєстру Run
    $RegistryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $Name = "DenoUpdater"
    $Value = "C:WindowsSystem32conhost.exe --headless C:UsersPublicdeno.exe malicious_payload.js"
    
    Write-Host "[*] Імітація механізму персистенції..."
    New-ItemProperty -Path $RegistryPath -Name $Name -Value $Value -PropertyType String -Force
    Write-Host "[+] Ключ реєстру створено. Перевірте СУІБ для сигналу тривоги."
  • Команди очищення:

    # Очистіть імітовану персистенцію
    $RegistryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun"
    $Name = "DenoUpdater"
    
    if (Get-ItemProperty -Path $RegistryPath -Name $Name -ErrorAction SilentlyContinue) {
        Remove-ItemProperty -Path $RegistryPath -Name $Name -Force
        Write-Host "[+] Очищення завершено. Ключ реєстру видалено."
    } else {
        Write-Host "[-] Очищення не вдалося: ключ реєстру не знайдено."
    }