Solana 备忘录字段被黑客滥用，用于运行隐蔽恶意软件。

黑客正逐渐放弃传统的服务器，转而利用去中心化系统攻击开发者并窃取他们的加密货币资金。他们正用去中心化方案完全取代传统的命令与控制（C2）服务器。.

在此次攻击中，恶意软件滥用了 Solana 区块链。它利用 Solana 交易的备注字段运行隐蔽恶意软件，窃取加密钱包数据，甚至包括硬件钱包恢复短语。.

备注字段最初设计用于简单的交易记录，但攻击者现在却将其用作隐藏的通信层。这使得区块链的一项公共功能变成了恶意软件控制的隐蔽通道。.

像 Solana这样的去中心化备忘录是公开且永久的，任何一方都无法将其删除。此外，攻击者无需更改恶意软件即可更新指令。.

该攻击活动被认为是 GlassWorm 恶意软件的新版本，该恶意软件至少从 2022 年起就已活跃。.

Solana 备忘录充当死信箱解析器

据Aikido的安全研究人员称，此次攻击分为三个阶段或三个有效载荷。第一阶段/有效载荷只是一个入口点。它始于开发者从npm、PyPI、GitHub或Open VSX市场等开源代码库安装恶意软件包之时。.

该恶意软件会检查系统区域设置是否为俄语，如果是，则不会继续攻击。这是因为攻击者很可能位于俄罗斯，并且不想被当局抓获。安装完成后，该恶意软件会利用 Solana 区块链获取攻击者的命令与控制 (C2) 服务器 IP 地址。它会在 Solana 上查找备注字段中包含 C2 服务器 IP 地址的特定交易。.

恶意软件随后连接到C2服务器，并开始攻击的第二阶段。在此阶段，恶意软件会寻找加密数据，例如助记词、私钥，甚至钱包截图。它的目标是 MetaMask、Phantom、Coinbase、Exodus、 Binance、Ronin、Keplr等浏览器扩展钱包。

该恶意软件还会搜寻浏览器数据，例如登录会话、会话令牌和云访问权限。这意味着它可以访问集中式交易所账户、npm、GitHub 和 AWS 账户。.

恶意软件收集数据后，将其压缩成 ZIP 文件，并将其发送到攻击者的服务器。.

硬件钱包成为网络钓鱼攻击的目标

最后一段有效载荷分为两部分。第一部分是一个 .NET 二进制文件，用于查找 Ledger 和 Trezor 等硬件钱包。如果找到，它会显示一条虚假的错误信息，诱骗用户输入助记词。

第二部分是一个基于 WebSocket 的 JavaScript RAT（远程访问木马），用于窃取浏览器数据。它还会安装一个伪装成 Chrome 扩展程序的插件，该插件会监控特定网站（例如交易所）并实时窃取 cookie。该插件通过 Google 日历事件以“死信箱”解析器的形式下载。这种方法允许攻击者隐藏真实服务器，绕过安全过滤器，并充当间接的传播层。.

与仅窃取浏览器数据的第二阶段恶意软件不同，此远程访问木马 (RAT) 拥有实时控制权。它会保持活动状态并监控浏览器，捕获新的 Cookie， trac活跃会话（例如已登录的 Exchange 帐户），记录键盘输入并截取屏幕截图。此外，它还允许攻击者在受害者的计算机上执行命令。.

GlassWorm 很难清除。这种恶意软件可以重新下载自身，并且能够在重启后继续运行。它还会使用诸如分布式哈希表 (DHT) 查找和 Solana 备忘录之类的备用方法来寻找控制服务器。.

由于没有中央服务器，数据在许多计算机上共享，因此防御者很难在网络层面阻止攻击。.