Los investigadores de ciberseguridad han descubierto dos cajas oxidadas maliciosas que están haciendo pasar por una biblioteca legal llamada Fast_log para robar las claves de la billetera Solana y Ethereum del código fuente.
Las cajas llamadas Faster_Log y Async_println fueron publicadas por actores de amenazas bajo el alias Rustguruman, según Software Supply Cadem Security Company Socket, y acumuló un total de 8,424 descargas.
«La caja contiene código de registro de comportamiento para cubiertas y rutinas integradas que escanean archivos de origen para claves privadas de Solana y Ethereum, que coinciden con comandos codificados y controles (C2) en puntos HTTP.
Después de la divulgación responsable, los mantenedores de cajas de cajas tomaron medidas para eliminar el paquete de óxido y deshabilitar las dos cuentas. Además, para un análisis posterior, mantiene registros de usuarios operados por actores de amenaza junto con cajas de madera maliciosas.
«El código malicioso se ejecutó en tiempo de ejecución al ejecutar o probar un proyecto dependiendo del proyecto», dice Walter Pearce de Craates.io. «En particular, no ejecutaron código malicioso a la hora de compilación. Con la excepción de las cargas de maliciosas, estas cajas usaban nombres similares para copiar el código fuente, las características y la documentación de la caja legítima».
Como se detalló en los enchufes, el ataque de ajuste de tipo involucró a los actores de amenaza que conservaron las capacidades de registro de la biblioteca real, introduciendo cambios en el código malicioso durante las operaciones de cuadros de registro que se buscaron recursivamente en directorios (*.RS) para Ethereum y Solana Keys privadas y matrices de bytes de byte, e introdujeron extensiones excepto para los dominios de los trabajadores raros de la nubes. («Mainnet.Solana-RPC-Pool.Workers (.) Dev»).
Además de copiar el ReadMe en Fast_log y establecer el campo de repositorio de madera falso en el proyecto GitHub real, el uso de «Mainnet.Solana-RPC-Pool.Workers (.) Dev» es un intento de imitar el punto final de RPC Mainnet Beta de Solana.
Según Craates.io, los dos marcos de madera no tenían la caja aguas abajo en la que dependen. Además, los usuarios no publicaron otros marcos de madera en el registro de paquetes de óxido. Las cuentas de GitHub vinculadas a la cuenta de editor de cajas. Quedan accesibles al momento de escribir. La cuenta de GitHub se creó el 27 de mayo de 2023, pero Rustguruman no estuvo presente hasta el 25 de mayo de 2025.
«Esta campaña muestra cómo el código mínimo y los engaños simples crean el riesgo de la cadena de suministro», dijo Boychenko. «El maderero funcional con nombres familiares, diseños copiados y lectores puede transmitir críticas casuales, pero las pequeñas claves de billetera privada de rutina para el punto final C2 controlado por el actor amenazante. Desafortunadamente, es suficiente para llegar a la computadora portátil y CI del desarrollador».
Source link
