Los hackers se están alejando de los servidores normales y utilizando sistemas descentralizados para atacar a los desarrolladores y robar sus fondos de criptomonedas. Están reemplazando completamente los servidores tradicionales de comando y control (C2) con opciones descentralizadas.

En este ataque, el malware abusa de la blockchain de Solana. Utiliza el campo de nota de las transacciones de Solana para ejecutar malware sigiloso que roba datos de billeteras criptográficas e incluso frases de recuperación de billeteras de hardware.

El campo de nota fue diseñado originalmente para notas de transacciones simples, pero los atacantes ahora lo están utilizando como una capa de comunicación oculta. Esto convierte una característica pública de la blockchain en un canal encubierto para el control de malware.

Los memos descentralizados como los de Solana son públicos y permanentes y no pueden ser eliminados por ninguna parte única. Además, los atacantes pueden actualizar instrucciones sin cambiar el malware.

La campaña se considera una nueva versión del malware GlassWorm, que ha estado activo desde al menos 2022.

Los memos de Solana actúan como un resolver de entrega muerta

Según investigadores de seguridad de Aikido, el ataque tiene tres etapas o tres cargas. La primera etapa/carga es solo un punto de entrada. Comienza cuando un desarrollador instala un paquete malicioso de repositorios de código abierto como npm, PyPI, GitHub o los mercados de Open VSX.

Luego, el malware verifica si la configuración regional del sistema es rusa y, si es así, no procede con el ataque. Esto se debe a que los atacantes probablemente están basados en Rusia y no quieren ser atrapados por las autoridades. Una vez instalado, el malware utiliza la blockchain de Solana para obtener la dirección IP del servidor de comando y control (C2) del atacante. Busca una transacción específica en Solana que contenga la dirección IP del servidor C2 en el campo de memo.

Luego, el malware se conecta al servidor C2 y comienza la segunda etapa del ataque. En esta etapa, el malware busca datos de criptomonedas como frases semilla, claves privadas e incluso capturas de pantalla de billeteras. Apunta a billeteras de extensiones del navegador como MetaMask, Phantom, Coinbase, Exodus, Binance, Ronin, Keplr y más.

El malware también busca datos del navegador como sesiones de inicio de sesión, tokens de sesión y acceso a la nube. Esto significa que puede acceder a cuentas de intercambio centralizadas, npm, GitHub y cuentas de AWS.

Después de recopilar los datos, el malware los comprime en un archivo ZIP y los envía al servidor del atacante.

Solana memo field abused by hackers to run stealth malware.Fuente: Aikido Security.

Billeteras de hardware objetivo a través de phishing

La última carga se divide en dos partes. La primera parte es un binario .NET que busca billeteras de hardware como Ledger y Trezor. Si encuentra una, muestra un mensaje de error falso que engaña al usuario para que ingrese su frase de recuperación.

La segunda parte es un RAT (troyano de acceso remoto) basado en WebSocket que roba datos del navegador. También instala una extensión falsa de Chrome que monitorea sitios específicos como intercambios y roba cookies en tiempo real. Se descarga a través de un evento de Google Calendar como un resolver de entrega muerta. Este enfoque permite al atacante ocultar el servidor real, eludir filtros de seguridad y actúa como una capa de entrega indirecta.

A diferencia de la segunda etapa, donde el malware solo roba datos del navegador, este RAT tiene control en vivo. Permanece activo y monitorea el navegador. Captura nuevas cookies, rastrea sesiones activas como cuentas de intercambio iniciadas, registra pulsaciones de teclas y toma capturas de pantalla. Además, permite al atacante ejecutar comandos en la máquina de la víctima.

Es difícil eliminar GlassWorm. El malware puede volver a descargarse y puede sobrevivir a los reinicios. También utiliza métodos de respaldo como búsquedas DHT (Tabla Hash Distribuida) y memos de Solana para encontrar el servidor de control.

Dado que no hay un servidor central y los datos se comparten entre muchas computadoras, se vuelve difícil para los defensores bloquear el ataque a nivel de red.

Este ataque es muy peligroso. Es altamente severo porque combina robo de criptomonedas, control total del sistema y red inremovible.

No solo leas noticias sobre criptomonedas. Compréndelas. Suscríbete a nuestro boletín. Es gratis.