Solana

Pesquisadores de cibersegurança identificaram uma nova extensão maliciosa chamada Crypto Copilot na Chrome Web Store, que é capaz de injetar transferências ocultas de Solana em transações de troca, desviando fundos para uma carteira controlada por atacantes. Publicada em 7 de maio de 2024, a extensão foi descrita como uma ferramenta para ’negociar criptomoedas diretamente no X com insights em tempo real’. No entanto, por trás de sua interface, ela adiciona uma transferência extra em cada troca de Solana, cobrando uma taxa mínima de 0.0013 SOL. O código malicioso é ofuscado para evitar detecção e se ativa durante as trocas na plataforma Raydium, um DEX na blockchain Solana. A extensão também se comunica com um backend para registrar carteiras conectadas e monitorar atividades dos usuários, mantendo os usuários desinformados sobre as taxas ocultas. A extensão ainda está disponível para download, apesar de seu comportamento fraudulento.

Pesquisadores de cibersegurança descobriram dois crates maliciosos escritos em Rust, chamados faster_log e async_println, que se disfarçam como uma biblioteca legítima chamada fast_log. Esses crates foram publicados por um ator de ameaça sob os pseudônimos rustguruman e dumbnbased em 25 de maio de 2025, acumulando 8.424 downloads. O código malicioso embutido nos crates é projetado para escanear arquivos de código-fonte em busca de chaves privadas de carteiras Solana e Ethereum, enviando as informações coletadas para um servidor de comando e controle (C2) via HTTP POST. A vulnerabilidade foi identificada após uma divulgação responsável, levando os mantenedores do crates.io a remover os pacotes e desativar as contas dos autores. O ataque, classificado como typosquatting, utiliza um logger funcional com um nome familiar, o que pode passar despercebido em revisões superficiais. A campanha destaca como uma pequena quantidade de código malicioso pode representar um risco significativo na cadeia de suprimentos de software, especialmente em ambientes de desenvolvimento e integração contínua.

Pesquisadores de cibersegurança descobriram uma campanha de malware sofisticada chamada “Solana-Scan”, que visa especificamente desenvolvedores de criptomoedas no ecossistema Solana por meio de pacotes npm maliciosos. A campanha, que começou em 15 de agosto de 2025, afeta principalmente desenvolvedores russos e utiliza técnicas avançadas de roubo de informações para coletar credenciais de criptomoedas e arquivos de carteira. Três pacotes npm maliciosos foram identificados: “solana-pump-test”, “solana-spl-sdk” e “solana-pump-sdk”, que se disfarçaram como ferramentas legítimas de escaneamento do SDK Solana. O malware executa um payload em duas etapas, coletando dados ambientais e, em seguida, escaneando sistemas comprometidos em busca de arquivos sensíveis. Os dados roubados são enviados para um servidor de comando e controle nos EUA, que expõe informações das vítimas, levantando questões sobre possível envolvimento estatal. A detecção desse tipo de ataque é desafiadora para ferramentas tradicionais de segurança, e recomenda-se que as organizações implementem soluções de escaneamento de pacotes em tempo real e mantenham inventários de dependências atualizados.