
Peneliti keamanan siber telah mengidentifikasi tiga set paket berbahaya di repositori npm dan Python Package Index (PyPI) yang memiliki kemampuan untuk mencuri data dan bahkan menghapus data sensitif dari sistem yang terinfeksi.
Daftar paket yang teridentifikasi ada di bawah –
- @async-mutex/mutex, kesalahan ketik dari async-mute (npm)
- dexscreener, yang menyamar sebagai perpustakaan untuk mengakses data kumpulan likuiditas dari bursa terdesentralisasi (DEX) dan berinteraksi dengan platform DEX Screener (npm)
- solana-transaksi-toolkit (npm)
- solana-stable-web-huk (npm)
- cschokidar-selanjutnya, kesalahan ketik dari chokidar (npm)
- achokidar-selanjutnya, kesalahan ketik dari chokidar (npm)
- achalk-next, salah ketik kapur (npm)
- csbchalk-next, kesalahan ketik kapur (npm)
- cschalk, salah ketik kapur (npm)
- pycord-self, kesalahan ketik dari discord.py-self (PyPI)

Perusahaan keamanan rantai pasokan Socket, yang menemukan paket tersebut, mengatakan empat paket pertama dirancang untuk mencegat kunci pribadi Solana dan mengirimkannya melalui server Simple Mail Transfer Protocol (SMTP) Gmail dengan tujuan yang mungkin menguras dompet korban.
Khususnya, paket solana-transaction-toolkit dan solana-stable-web-huks secara terprogram menghabiskan dompet, secara otomatis mentransfer hingga 98% isinya ke alamat Solana yang dikendalikan penyerang, sambil mengklaim menawarkan fungsionalitas khusus Solana.
“Karena Gmail adalah layanan email tepercaya, upaya eksfiltrasi ini cenderung tidak ditandai oleh firewall atau sistem deteksi titik akhir, yang memperlakukan smtp.gmail.com sebagai lalu lintas yang sah,” kata peneliti keamanan Kirill Boychenko.
Socket mengatakan pihaknya juga menemukan dua repositori GitHub yang diterbitkan oleh pelaku ancaman di balik solana-transaction-toolkit dan solana-stable-web-huk yang konon berisi alat atau skrip pengembangan Solana untuk mengotomatisasi alur kerja DeFi umum, namun, pada kenyataannya, mengimpor repositori tersebut. paket npm berbahaya milik aktor ancaman.

Akun GitHub yang terkait dengan repositori ini, “moonshot-wif-hwan” dan “Diveinprogramming,” tidak lagi dapat diakses.
“Sebuah skrip di repositori GitHub pelaku ancaman, moonshot-wif-hwan/pumpfun-bump-script-bot, dipromosikan sebagai bot untuk berdagang di Raydium, DEX berbasis Solana yang populer, namun malah mengimpor kode berbahaya dari solana- paket stable-web-huks,” kata Boychenko.
Penggunaan repositori GitHub yang berbahaya menggambarkan upaya penyerang untuk melakukan kampanye yang lebih luas di luar npm dengan menargetkan pengembang yang mungkin mencari alat terkait Solana di platform hosting kode milik Microsoft.
Rangkaian paket npm yang kedua diketahui membawa fungsionalitas jahatnya ke tingkat berikutnya dengan menggabungkan fungsi “kill switch” yang secara rekursif menghapus semua file dalam direktori spesifik proyek, selain mengeksfiltrasi variabel lingkungan ke server jarak jauh dalam beberapa kasus. .
Paket csbchalk-next palsu berfungsi identik dengan versi chokidar yang salah ketik, satu-satunya perbedaan adalah paket tersebut hanya memulai operasi penghapusan data setelah menerima kode “202” dari server.

Pycord-self, di sisi lain, memilih pengembang Python yang ingin mengintegrasikan API Discord ke dalam proyek mereka, menangkap token otentikasi Discord dan menghubungkan ke server yang dikendalikan penyerang untuk instalasi pasca akses pintu belakang yang persisten pada sistem Windows dan Linux.
Perkembangan ini terjadi ketika pelaku kejahatan menargetkan pengguna Roblox dengan perpustakaan palsu yang dirancang untuk memfasilitasi pencurian data menggunakan malware pencuri sumber terbuka seperti Skuld dan Blank-Grabber. Tahun lalu, Imperva mengungkapkan bahwa pemain Roblox yang mencari cheat dan mod game juga menjadi sasaran paket PyPI palsu yang menipu mereka agar mengunduh muatan yang sama.