Un total de 12 paquetes maliciosos fueron señalados. Entre ellos están: @async-mutex/mutex, dexascreener, solana-transaction-toolkit, solana-stable-web-huks, y varios más que son considerados variaciones tipográficas (typosquats) de librerías legítimas, como chokidar y chalk. Los paquetes maliciosos tienen la capacidad de interceptar claves privadas de usuarios en Solana y enviar esta información a servidores controlados por los atacantes a través del Protocolo simple de transferencia de correo (SMTP), específicamente utilizando Gmail, lo que dificulta la detección de los ataques debido a que ese tráfico se considera legítimo por muchos sistemas de seguridad.
Los paquetes solana-transaction-toolkit y solana-stable-web-huks son especialmente críticos, ya que están diseñados para vaciar programáticamente las billeteras de Solana, transfiriendo hasta el 98% de los fondos a direcciones controladas por los atacantes bajo la apariencia de ofrecer herramientas legítimas para el ecosistema de Solana. La seguridad de estos paquetes fue puesta en tela de juicio, ya que estaban acompañados por repositorios de GitHub que aparentaban contener herramientas de desarrollo legítimas.
Además, se descubrió que dos de esos repositorios de GitHub, denominados «moonshot-wif-hwan» y «Diveinprogramming», ya no estaban disponibles, lo que sugiere que los actores detrás de estas amenazas están intentando cubrir sus huellas. Un script específico asociado con uno de estos repositorios se promocionaba como un bot para realizar operaciones en Raydium, un popular exchange descentralizado (DEX) en Solana, pero en realidad importaba código malicioso.
Los ataques no se limitaron únicamente al robo de claves y fondos; un segundo grupo de paquetes también introduce una Automatización de Desconexión, que tiene como efecto borrar de manera recursiva archivos en directorios específicos del proyecto del usuario, lo que dificulta aún más la recuperación de datos robados. Por ejemplo, el paquete csbchalk-next engancha a las versiones tipográficas de chokidar, iniciando la eliminación de archivos solamente tras recibir un código específico del servidor malicioso.
Por otro lado, el paquete pycord-self se presenta como una herramienta para desarrolladores que desean integrar las API de Discord, pero en realidad captura tokens de autenticación de Discord, permitiendo a los atacantes acceder a cuentas de usuarios a través de un backdoor después de su instalación en sistemas operativos Windows y Linux.
Esta tendencia de ataques dirigidos a usuarios de plataformas de juegos como Roblox está en aumento, con el uso de bibliotecas fraudulentas destinadas a facilitar el robo de datos mediante malware como Skuld y Blank-Grabber. Este patrón de ataque es preocupante, ya que el interés por obtener trucos y modificaciones en juegos hace a muchos usuarios vulnerables a descargar paquetes maliciosos disfrazados de herramientas legítimas.
Estos eventos resaltan la necesidad urgente de mantener un enfoque vigilante en la seguridad cibernética, especialmente en lo que respecta a la cadena de suministro de software, para evitar que los usuarios, tanto desarrolladores como consumidores, se conviertan en víctimas de ataques maliciosos que cada vez son más sofisticados. Es fundamental que la comunidad tecnológica esté al tanto de estas amenazas y actúe proactivamente para proteger sus sistemas y datos.
Enlace de la fuente, haz clic para tener más información