14/05/25
Несмотря на то, что файл под названием «solana-token» уже удалён, до момента удаления его успели загрузить 761 раз, потенциально поставив под угрозу исходный код и конфиденциальные данные сотен разработчиков.
По данным ReversingLabs, пакет появился на PyPI ещё в апреле прошлого года, причём его версии не соответствовали привычным схемам нумерации, что уже могло бы насторожить. Однако основная угроза кроется в функции register_node(), которая маскируется под часть блокчейн-логики, но на деле занимается кражей файлов, пишут в Securitylab.
После установки, вредонос копирует всё содержимое Python-стека и отправляет данные на жёстко зашитый IP-адрес. Таким образом, разработчики, создающие собственные блокчейн-проекты, могли случайно предоставить злоумышленникам доступ к закрытому исходному коду, криптографическим ключам и другим чувствительным данным, которые нередко «хардкодятся» на ранних этапах работы.
Анализ показал, что создатели пакета нацеливались именно на блокчейн-разработчиков. Название и структура функций в нём создавали впечатление легитимного компонента для работы с Solana, тем самым вводя в заблуждение тех, кто ищет готовые решения в открытых источниках.
Специалисты пока не выяснили, каким образом вредонос распространялся. Однако предполагается, что его могли продвигать на форумах и платформах, популярных среди разработчиков. Случай с «solana-token» лишний раз подтверждает: блокчейн-проекты остаются лакомой целью для атак на цепочку поставок, особенно в open-source среде.
Карло Занки из ReversingLabs подчёркивает: командам разработчиков стоит более внимательно отслеживать изменения и поведение сторонних компонентов, будь то открытые или коммерческие библиотеки. Иначе вредоносный код может проникнуть в защищённые среды и привести к серьёзным утечкам. Внедрение контроля на ранних этапах разработки — один из способов минимизировать риски разрушительных атак на цепочку поставок.
