黑客正从传统服务器转向去中心化系统,攻击开发者并窃取其加密货币资金。他们正在完全用去中心化选项取代传统的命令与控制(C2)服务器。在这类攻击中,恶意软件滥用Solana区块链,利用Solana交易的备忘录字段运行隐蔽的恶意软件,窃取加密货币钱包数据,甚至硬件钱包的恢复短语。
备忘录字段最初设计用于简单的交易备注,但攻击者现在将其用作隐藏的通信层。这使公共区块链功能变成了恶意软件控制的隐蔽通道。像Solana这样的去中心化备忘录是公开且永久的,任何单一实体都无法将其删除。此外,攻击者可以在不更改恶意软件的情况下更新指令。
这次攻击被认为是GlassWorm恶意软件的新版本,该软件自2022年以来一直活跃。
Solana备忘录充当死投解析器
根据Aikido安全研究人员的分析,这次攻击分为三个阶段或三个有效载荷。第一阶段/有效载荷只是一个入口点。当开发者从npm、PyPI、GitHub或Open VSX市场等开源仓库安装恶意软件包时,攻击就开始了。
恶意软件然后检查系统区域设置是否为俄语,如果是,则不会继续攻击。这可能是因为攻击者很可能位于俄罗斯,不希望被当局抓获。
一旦安装,恶意软件使用Solana区块链获取攻击者的命令与控制(C2)服务器IP地址。它在Solana上寻找包含C2服务器IP地址的特定交易。恶意软件然后连接到C2服务器并开始攻击的第二阶段。
在这个阶段,恶意软件寻找加密货币数据,如种子短语、私钥,甚至钱包截图。它针对浏览器扩展钱包,如MetaMask、Phantom、Coinbase、Exodus、Binance、Ronin、Keplr等。恶意软件还寻找浏览器数据,如登录会话、会话令牌和云访问权限。这意味着它可以访问中心化交易所账户、npm、GitHub和AWS账户。
收集数据后,恶意软件将其压缩为ZIP文件,并发送到攻击者的服务器。
硬件钱包通过钓鱼攻击成为目标
最后一个有效载荷分为两部分。第一部分是.NET二进制文件,寻找Ledger和Trezor等硬件钱包。如果找到,它会显示虚假错误消息,诱使用户输入恢复短语。第二部分是基于WebSocket的JavaScript RAT(远程访问木马),窃取浏览器数据。它还安装虚假的Chrome扩展程序,监控特定网站(如交易所)并实时窃取cookie。
它通过Google Calendar事件作为死投解析器下载。这种方法允许攻击者隐藏真实服务器,绕过安全过滤器,并充当间接交付层。
与仅窃取浏览器数据的第二阶段不同,这个RAT具有实时控制功能。它保持活动状态并监控浏览器。它捕获新cookie、跟踪活动会话(如已登录的交易所账户)、记录击键并截取屏幕截图。此外,它允许攻击者在受害者机器上运行命令。
GlassWorm难以移除。恶意软件可以重新下载自身,并且可以在重启后存活。它还使用备用方法,如DHT(分布式哈希表)查找和Solana备忘录来查找控制服务器。由于没有中央服务器,数据在许多计算机之间共享,防御者很难在网络层面阻止攻击。
这次攻击非常危险。它之所以高度严重,是因为它结合了加密货币盗窃、完全系统控制和不可移除的网络。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/03/28/solana%e5%a4%87%e5%bf%98%e5%bd%95%e5%8a%9f%e8%83%bd%e9%81%ad%e9%bb%91%e5%ae%a2%e5%88%a9%e7%94%a8%ef%bc%8c%e6%88%90%e4%b8%ba%e9%9a%90%e8%97%8f%e6%81%b6%e6%84%8f%e8%bd%af%e4%bb%b6%e7%9a%84%e7%a7%98/
