Хакеры спрятали командный сервер в блокчейне Solana. Нет, криптовалюту они не крадут — они крадут всё остальное
NewsMakerTXT-запись в Solana Name Service помогает быстро переключать инфраструктуру атакующих.
В Positive Technologies рассказали о новой цепочке заражения, где злоумышленники прячут командный сервер за блокчейном Solana. В январе 2026 года команда киберразведки PT Expert Security Center обнаружила атаку, которая начинается с письма с «обычным» вложением и заканчивается полноценным удаленным управлением компьютером жертвы. По данным исследователей, активность идет как минимум с середины октября 2025 года и продолжается до сих пор.
Сценарий похож на классический фишинг. Приходит ZIP-архив, внутри лежит документ-приманка и вредоносный файл. Дальше варианты меняются: встречались XLL-добавка для Excel, ярлык LNK и установщик MSI. Смысл один и тот же: запустить спрятанную PowerShell-команду, которая подтягивает следующую ступень атаки и разворачивает среду для запуска вредоносного кода на Node.js.
Следующий этап выглядит нетипично. Загрузчик на JavaScript сильно обфусцирован и раздувается до нескольких мегабайт за счет «упакованных» внутрь модулей Node.js. Он закрепляется в системе через VBS-скрипт, автозагрузку и планировщик заданий с запуском каждые 5 минут. Дальше malware определяет, куда стучаться: либо берет резервный адрес, либо пытается получить альтернативный домен через TXT-запись в Solana Name Service. Такой прием усложняет блокировки и ускоряет смену инфраструктуры без привычных перенастроек на стороне жертвы.
Основная полезная нагрузка, по описанию PT ESC, это RAT с большим набором команд. Он поднимает связь с сервером злоумышленников по WebSocket и умеет выполнять задачи вроде выгрузки данных, запуска команд и файлов, снятия скриншотов, работы с файлами и дисками, а также проксирования трафика через SOCKS5. Отдельно упоминаются модули клиппера и кейлоггера, которые подгружаются с сервера атакующих.
В Positive Technologies рассказали о новой цепочке заражения, где злоумышленники прячут командный сервер за блокчейном Solana. В январе 2026 года команда киберразведки PT Expert Security Center обнаружила атаку, которая начинается с письма с «обычным» вложением и заканчивается полноценным удаленным управлением компьютером жертвы. По данным исследователей, активность идет как минимум с середины октября 2025 года и продолжается до сих пор.
Сценарий похож на классический фишинг. Приходит ZIP-архив, внутри лежит документ-приманка и вредоносный файл. Дальше варианты меняются: встречались XLL-добавка для Excel, ярлык LNK и установщик MSI. Смысл один и тот же: запустить спрятанную PowerShell-команду, которая подтягивает следующую ступень атаки и разворачивает среду для запуска вредоносного кода на Node.js.
Следующий этап выглядит нетипично. Загрузчик на JavaScript сильно обфусцирован и раздувается до нескольких мегабайт за счет «упакованных» внутрь модулей Node.js. Он закрепляется в системе через VBS-скрипт, автозагрузку и планировщик заданий с запуском каждые 5 минут. Дальше malware определяет, куда стучаться: либо берет резервный адрес, либо пытается получить альтернативный домен через TXT-запись в Solana Name Service. Такой прием усложняет блокировки и ускоряет смену инфраструктуры без привычных перенастроек на стороне жертвы.
Основная полезная нагрузка, по описанию PT ESC, это RAT с большим набором команд. Он поднимает связь с сервером злоумышленников по WebSocket и умеет выполнять задачи вроде выгрузки данных, запуска команд и файлов, снятия скриншотов, работы с файлами и дисками, а также проксирования трафика через SOCKS5. Отдельно упоминаются модули клиппера и кейлоггера, которые подгружаются с сервера атакующих.