Solana SDK로 위장한 npm 패키지, Telegram Bot API 기반 RAT 유포

[이미지] 생성형 AI 제작

 

 

이스트시큐리티 대응센터(ESRC)는 Solana 블록체인 공식 SDK인 @solana/web3.js를 사칭한 악성 npm 패키지 9종을 발견했습니다. 9개 패키지는 모두 동일한 공격자가 동일한 악성 페이로드를 삽입한 것으로, Telegram Bot API를 명령제어(C2) 채널로 활용하는 원격 제어 도구(RAT)를 포함하고 있습니다.

 

이 악성코드는 단순 정보 탈취를 넘어, Telegram 채팅 기반의 양방향 C2(Command & Control) 기능을 통해 공격자가 피해 시스템에서 임의의 운영체제(OS) 명령을 실행할 수 있어 심각한 위협이 될 수 있습니다.

 

기존 Telegram Bot API 악용 사례와의 차이점

 

Telegram Bot API를 C2 채널로 사용하는 악성 패키지 사례는 기존에도 다수 관찰되어 왔습니다.

다만 기존 사례 대부분은 Telegram을 피해 정보를 한 방향으로 빼내는 단방향 유출 채널로만 사용했으며, 수집한 정보를 공격자에게 전송하면 그것으로 공격이 마무리되는 구조였습니다.

 

이와 달리 이번 공격에서는 범용 SDK 패키지가 자체적으로 Telegram의 getUpdates 폴링 루프를 구동하여 공격자의 메시지를 수신하고, 그 명령을 실행한 뒤 결과를 다시 회신하는 완전한 양방향 C2 구조를 갖추고 있습니다. 

 

단순 정보 탈취 도구(Infostealer)와 이번 샘플의 차이를 정리하면 다음과 같습니다.

 

구분	단순 Infostealer	본 샘플 ( Telegram RAT)
데이터 유출	수집 → 전송 (1회성)	수집 → 전송 (1회성) + 온 디맨드(On-Demand) 재수집
명령 수신	없음	getUpdates 폴링으로 공격자 메시지 수신
명령 실행	없음	/sh, /cmd, 일반 텍스트를 OS 명령으로 실행
결과 회신	없음	실행 결과를 sendMessage로 회신
폴링 주기	-	12초 간격 무한 루프
양방향 통신	단방향 (피해자→공격자)	양방향 (피해자↔공격자)

[표 1] 기존 정보 탈취형과 본 샘플의 동작 방식 비교

 

악성 패키지 구성

 

1) 악성 패키지 목록 (9종)

공격자는 @solana/web3.js를 사칭한 9개의 타이포스쿼팅 패키지를 npm에 등록했습니다.
모든 패키지가 동일한 작성자명(Solana Labs Maintainers)으로 등록되었으며, 동일한 파일 구조와 바이트 단위로 일치하는 악성 페이로드를 포함하고 있습니다.

💡 참고하세요

타이포스쿼팅이란?
타이포스쿼팅(Typosquatting)은 유명한 패키지나 사이트의 이름과 비슷하게 짓되 철자를 살짝 바꾸거나 단어를 덧붙여, 사용자의 오타나 착각을 노리는 수법입니다. 예를 들어 정식 명칭 @solana/web3.js 대신 solana-web3-stable처럼 그럴듯한 이름을 만들어, 개발자가 진짜 패키지로 오인하고 설치하도록 유도합니다.

 

#	패키지명	버전	설명 (package.json)
1	solana-web3-community	1.0.5	Solana JavaScript API — stable community fork with full JSON RPC support, WebSocket subscriptions, and transaction signing
2	solana-web3-stable	1.0.0	Community-maintained Solana JavaScript API — drop-in replacement with enhanced stability
3	solana-web3-fixed	1.0.0	Community-maintained Solana JavaScript API with enhanced stability
4	solana-web3-fork	1.0.0	Community-maintained Solana JavaScript API with enhanced stability
5	solana-web3-lts	1.0.0	Community-maintained Solana JavaScript API with enhanced stability
6	solana-web3-patched	1.0.0	Community-maintained Solana JavaScript API with enhanced stability
7	solana-web3-v1	1.0.0	Community-maintained Solana JavaScript API with enhanced stability
8	solana-js-client	1.0.0	Community-maintained Solana JavaScript API with enhanced stability
9	solana-rpc-client	1.0.0	Community-maintained Solana JavaScript API with enhanced stability

[표 2] 악성 패키지 목록

 

[그림 1] 공격자 계정에 등록된 악성 패키지 목록

 

[그림 2] npm에 배포된 Solana 위장 악성 패키지 일부

 

패키지명에는 community, stable, fixed, fork, lts, patched, v1처럼 개발자가 신뢰감을 느낄 만한 키워드를 조합한 것이 특징입니다. 특히 lts(Long Term Support)나 stable은 공식 장기 지원 버전을 연상시키고, fixed나 patched는 버그 수정 버전으로 오인하기 쉽습니다. 또한 solana-js-client, solana-rpc-client처럼 아예 다른 유형의 라이브러리명을 사용한 변종도 포함되어, 다양한 검색 키워드를 폭넓게 노린 것으로 보입니다.

 

2) SEO 키워드를 활용한 검색 노출 극대화
각 패키지의 package.json에는 npm 검색 결과 노출을 높이기 위한 58개의 SEO 키워드가 등록되어 있습니다. 키워드를 용도별로 살펴보면 공격자의 타겟팅 전략이 드러납니다.

• 일반 Solana/Web3 키워드 (20개)
  solana, web3, javascript, blockchain, spl, token, wallet, dapp, defi, nft,rpc, connection, transaction, keypair, publickey, mainnet, devnet, testnet,anchor, solana-program
  
  
• 패키지명 변형 키워드 (16개)
  solana-web3, solana-web3js, solana-web3-js, solana-sdk, solana-client,solana-rpc, solana-connection, solana-wallet, solana-token, solana-nft,solana-defi, solana-dapp, solana-airdrop, solana-staking, web3js, web3-js
  
  
• 프레임워크/환경별 키워드 (8개)
  solana-js, solanajs, solana-javascript, solana-typescript,solana-react, solana-nextjs, solana-node, solana-backend, solana-frontend
  
  
• DeFi 프로젝트/지갑 키워드 (8개)
  jupiter, raydium, orca, phantom, backpack, metaplex, drift, mango
  
  
• 고가치 타겟 키워드 (5개)
  solana-mev, solana-bot, solana-sandwich, solana-arbitrage, solana-trading

 

주목할 점은 MEV(Maximal Extractable Value), 차익거래 봇, 샌드위치 공격 봇, 트레이딩 봇 개발자를 노리는 고가치 타겟 키워드 입니다. 이런 키워드로 검색하는 개발자는 실제로 고액의 암호화폐 자산을 다룰 가능성이 높아 공격자에게 가장 가치 있는 표적이 됩니다.

3) 공통 패키지 구조와 감염 파일 

9개 패키지는 모두 정상 @solana/web3.js의 전체 소스 코드를 그대로 포함하면서, 빌드 결과물인 자바스크립트 파일 끝에 악성 코드를 삽입한 동일한 구조를 갖고 있습니다. 개발자가 패키지를 설치해 코드에서 불러오면 Solana SDK 기능은 정상적으로 동작하지만, 백그라운드에서는 악성 코드가 즉시 실행됩니다. 

 

[그림 3] 악성 패키지 내부 구조

 

각 패키지의 자바스크립트 파일 가운데 악성으로 판단되는 것은 Node.js 서버 환경에서 사용되는 2개 파일뿐입니다.

 

파일	용도	악성 여부
index.cjs.js	Node.js에서 require()로 불러올 때 사용	악성
index.esm.js	번들러(webpack 등)에서 import로 불러올 때 사용	악성
index.browser.cjs.js	브라우저용	정상
index.browser.esm.js	브라우저용	정상
index.native.js	React Native용	정상
index.iife.js / index.iife.min.js	브라우저 직접 로드용	정상

[표 3] 악성 패키지 내 자바 스크립트 파일

 

악성 코드는 require('fs'), require('child_process') 등 Node.js 전용 기능을 사용하기 때문에 브라우저용 파일에 삽입하면 오류가 발생해 오히려 정체가 드러나므로, 공격자는 브라우저용 파일은 그대로 두고 서버용 2개 파일만 감염시켰습니다.

이렇게 서버용 파일 두 개를 모두 노린 것은 개발자가 require() 방식으로 불러오든 import 방식으로 불러오든 어떤 경우에나 악성 코드가 실행되도록 하기 위한 설계로 볼 수 있습니다. 

또한 악성 코드를 삽입한 위치도 정상 코드가 끝난 뒤의 소스맵 주석 직후라서, 코드 리뷰 과정에서 "파일이 여기서 끝났다"고 인식해 그냥 지나치기 쉬운 최하단에 해당합니다.

 

악성 행위 상세 분석

 

악성 코드는 패키지가 로드되는 즉시 8단계에 걸쳐 동작합니다.

 

1단계 - 실행 환경 확인 및 분석 회피

가장 먼저 Node.js 환경이 아니면 즉시 종료하여 브라우저에서의 실행을 막고, 전역 플래그(___SF___)로 중복 실행을 방지합니다. 또한 공격자 인프라 IP(104.239.66.223)에서 동작 중이거나 ubuntu2204, vps, server처럼 분석 환경으로 의심되는 호스트명에서는 실행하지 않아, 자체 테스트 환경과 보안 분석 환경을 피해 갑니다.

if(typeof process==='undefined'||typeof require==='undefined')return;
if(global.___SF___)return; global.___SF___=true;

 

2단계 - 민감 파일 탈취

Solana 지갑 비밀키, SSH 비밀키, AWS 자격 증명, 환경 설정 파일 등을 수집하며, 운영체제별 수집 대상은 다음과 같습니다.

Windows 대상:

• %HOMEDIR%\.config\solana\id.json (Solana 지갑 비밀키)
• %APPDATA%\Solana\id.json (Solana 지갑 비밀키)
• %HOMEDIR%\.ssh\id_rsa (SSH 비밀키)
• %HOMEDIR%\.aws\credentials (AWS 접속 키)
• 현재 프로젝트의 .env, .env.local (비밀 설정 파일)

Linux/macOS 대상:

• 위 항목에 추가로 ~/.ssh/id_ed25519, ~/.solana/id.json
• Docker 컨테이너 환경(/app/.env, /root/.env)까지 포함
• Linux 대상 경로(10개)가 Windows(6개)보다 많아, 서버 환경을 주요 타겟으로 삼고 있음을 알 수 있습니다.

 

3단계 - 환경 변수에서 비밀 정보 수집

시스템에 설정된 환경 변수 가운데 KEY, SECRET, PRIVATE, TOKEN, PASSWORD, AWS, GITHUB, SOLANA 등 16개 키워드가 이름에 포함된 항목을 선별해 수집합니다. 이때 example, test, placeholder 같은 테스트용 값은 걸러내어 실제 유효한 비밀 정보만 추려냅니다.

 

4단계 - Solana CLI 네트워크 설정 변조 (RPC 하이재킹)

이번 공격에서 특히 위험한 단계로, 이 악성코드는 Solana CLI의 설정 파일(~/.config/solana/cli/config.yml)을 열어 블록체인과 통신하는 주소인 json_rpc_url 값을 공격자 서버(http://104.239.66.223:8899)로 덮어씁니다.

💡 참고하세요

RPC 서버란? Solana에서 RPC(Remote Procedure Call) 서버는 사용자 및 개발자와 블록체인 네트워크 사이를 잇는 중간 통신 관문입니다. 잔액 조회, SOL 전송, 토큰 스왑 같은 모든 작업이 이 RPC 서버를 거칩니다. 정상적으로는 Solana 공식 RPC나 신뢰할 수 있는 프로바이더를 사용하지만, 이 주소가 공격자 서버로 바뀌면 사용자의 모든 블록체인 요청이 공격자를 경유하게 됩니다.

변조 전 (정상-표준 설정 파일)
json_rpc_url: "hxxps://api.devnet.solana[.]com/"
websocket_url: "wss://api.devnet.solana.com/"
keypair_path: "/Users/username/.config/solana/id.json"

 

변조 후 
json_rpc_url:hxxp://104.239.66[.]223:8899

websocket_url: ""
keypair_path: /home/user/.config/solana/id.json

변조 이후 피해자가 solana transfer, solana balance, spl-token transfer 같은 명령을 실행할 때마다 모든 요청이 공격자 서버를 거치게 됩니다. 
RPC 주소가 공격자 서버로 바뀐 상태에서는, 해당 서버가 피해자의 트랜잭션을 가로채거나 송금 주소를 공격자 지갑으로 바꿔치기해 자금을 빼돌리고, 잔액 조회에 거짓 응답을 보내 변조 사실을 숨기는 등의 위협이 가능해집니다. 다만 공격자의 서버 측 코드는 확인할 수 없어 실제 수행 여부는 알 수 없으나, 이러한 위협이 발생할 수 있다는 점에 유의해야 합니다.

 

특히 이 단계는 변조 사실을 알아채기 어렵고 오래 지속되기 때문에 위험합니다. config.yml은 개발자가 평소에 들여다보지 않는 파일이라 무증상으로 감염이 유지되며, 악성 패키지를 npm uninstall로 제거하더라도 이미 바뀐 설정은 원래대로 복구되지 않아 반드시 RPC 주소를 수동으로 정상 값으로 되돌려야 합니다. 
또한 정상 RPC가 사용하는 HTTPS 대신 평문 통신인 http://로 변조하기 때문에, 전송 과정에서 추가적인 도청 위험까지 발생할 수 있습니다.

 

5단계 - 피해자 식별 해시 생성
데이터를 전송하기에 앞서, 악성코드는 감염 시스템을 구분하기 위한 고유 식별값을 만듭니다. 

호스트명과 사용자명을 sf-v6이라는 키로 HMAC-SHA256 방식으로 해싱하여 3a7f2c91b8e04d15(예시)와 같은 16자리 식별자를 생성합니다.

var AUTH = cr.createHmac('sha256', 'sf-v6').update(H + U).digest('hex').slice(0,16);
//                                      해시 알고리즘,  비밀 키   호스트명+사용자명        앞 16자리만 사용

같은 컴퓨터, 같은 계정에서는 항상 동일한 값이 만들어지므로  공격자는 여러 감염 시스템에서 들어오는 메시지를 이 식별값으로 "어느 피해자의 데이터인지" 구분해 관리할 수 있습니다.

 

6단계 - 탈취 데이터 즉시 전송
2~3단계에서 수집한 데이터를 5단계의 식별자와 함께 Telegram Bot API의 sendMessage를 통해 공격자 채팅방으로 즉시 전송합니다. 이때 메시지는 HTML 형식으로 포맷팅되며, Telegram의 메시지 길이 제한(4,096자)을 고려해 3,800자 단위로 나누어 전송하되, 실제로 탈취한 데이터가 있을 때만 전송이 이루어지도록 설계되어 있습니다.

 

[그림 4] 탈취 데이타 전송 코드

 

7단계 - 지속성 확보 (Linux 한정)
Linux 시스템에서는 crontab에 재부팅 후 자동 실행 항목을 추가해 재부팅 후 네트워크 초기화를 기다려 90초 대기한 다음 악성 코드를 다시 실행합니다. 설정에 사용한 임시 파일은 즉시 삭제해 흔적을 제거합니다.

 

8단계 - Telegram RAT 양방향 C2 폴링 루프
감염 시스템은 12초마다 Telegram Bot API의 getUpdates를 호출해 공격자가 보낸 메시지를 확인하고, 명령이 있으면 이를 실행한 뒤 결과를 sendMessage로 회신합니다.

 

[그림 5] 양방향 C2 폴링 루프 코드

 

지원하는 명령 체계는 다음과 같습니다.

 

명령	기능
/keys, /grab	지갑 키, SSH 키 등 민감 파일 재수집 및 전송
/info	호스트명, 사용자, OS, 공인 IP 등 시스템 정보 수집
/ssh	~/.ssh/ 디렉토리 전체 파일 전송
/env	전체 환경 변수 전송
/wallet	시스템 내 지갑/키스토어 파일 탐색
/sh <cmd>, /cmd <cmd>	임의 운영체제 명령 실행
/die	프로세스 자가 종료
/help	사용 가능한 명령 목록
<아무 텍스트>	/로 시작하지 않는 모든 메시지를 셸 명령으로 실행

[표 4] 지원하는 명령 목록

 

명령 실행에는 child_process.execSync()가 사용되며, 최대 30초의 실행 제한과 50MB 출력 버퍼가 설정되어 있습니다. 특히 슬래시(/)로 시작하지 않는 일반 텍스트까지 모두 셸 명령으로 해석해 실행하기 때문에, 공격자는 별도의 명령 접두사 없이도 자유롭게 원격 제어를 수행할 수 있습니다. 

 

전체 통신 흐름은 "공격자가 채팅방에 명령 입력 → Telegram Bot API getUpdates로 명령 수신 (12초마다 폴링) → 감염 시스템(Node.js 프로세스)이 폴링으로 수신/실행 → sendMessage로 결과 회신"의 양방향 구조로 요약됩니다. 

 

[그림 7] C2 통신 흐름도

 

동일 공격자의 이전 캠페인 확인

 

분석 과정 중 공격자 서버 IP와 Telegram Chat ID를 기반으로 조사한 결과, 동일 공격자가 이전에 수행한 공급망 공격 캠페인이 추가로 확인되었습니다.
이전 캠페인은 npm의 정상 스코프 @solana를 사칭해 @solana-labs라는 가짜 스코프를 만들고, 추가로 비스코프 패키지까지 함께 배포한 사례입니다. 확인된 패키지는 다음 5종입니다. (모두 현재 npm에서 삭제됨)

 

#	패키지명	다운로드	페이로드 위치
1	@solana-labs/web3.js	2,600	lib/index.cjs.js, lib/index.esm.js
2	@solana-labs/web3js	2,600	lib/index.cjs.js, lib/index.esm.js
3	@solana-labs/ancor	2,600	lib/index.cjs.js, lib/index.esm.js
4	solana-dev-tools	189	install.js
5	solana-rpc-pool	155	install.js

[표 5] 이전 캠페인에서 공격자가 배포한 악성 패키지 목록

 

@solana-labs/ancor는 Solana의 스마트 컨트랙트 프레임워크 @coral-xyz/anchor를 사칭한 것으로, anchor를 의도적으로 ancor로 바꾼 이중 타이포스쿼팅입니다.

 

항목	이전 캠페인 (5개 패키지)	이번 캠페인 (9개 패키지)
사칭 방식	@solana-labs 스코프 + 비스코프 혼합	패키지명 변형 9종 (비스코프)
npm 계정	tihiwa5354@bncinema.com (일회용)	solana-foundations
C2	104.239.66.223:8899	104.239.66.223:8899
Telegram Chat ID	8346336575	8346336575
Telegram bot Token	8628389567:AAHeoLi034Vg6JIXsC_vqP-v-PXH2FhZIG4	8870595195:AAHcwv2ZMYZU9ia_xjHGR5veBQTQ1FH_rOY
Telegram Bot name	@N1gga1337bot	@solanalabs3bot
Telegram 운영자 정보	@B4ck7p (User ID 8346336575)	@B4ck7p (User ID 8346336575)
페이로드 유형	2종 (lib 삽입 + install hook)	1종 (lib 삽입)
난독화	XOR 인코딩 / Base64	평문 (난독화 없음)
샌드박스 회피	Docker/strace 탐지	IP/호스트명 패턴 필터링
RAT 명령	/sh <cmd>, /help	/sh, /cmd, /keys, /ssh, /env, /wallet, /info, /die, /help, 일반 텍스트

[표 6] 두 캠페인 비교

 

이번 공격에서는 이전 캠페인 대비 Telegram 봇 토큰을 교체하면서도 동일한 Chat ID와 C2 서버를 유지했습니다.

또한 난독화를 제거하는 대신 RAT 명령 체계를 대폭 확장하고, install hook 방식을 버리고 lib 삽입 방식으로 통일하는 등 페이로드를 적극적으로 진화시킨 것으로 보입니다. HMAC 키의 버전 번호(sf-v6) 또한 이러한 반복적 개선을 뒷받침합니다.

 

대응 권고 및 결론

 

1) 감염 여부 확인
프로젝트의 package.json 또는 package-lock.json에서 이번 공격에 사용된 9종의 패키지 및 이전 캠페인에서 확인된 5종 패키지 사용 여부를 확인하시기 바랍니다.하나라도 존재한다면 즉시 제거하고 아래 조치를 수행해야 합니다. 

• solana-web3-community
• solana-web3-stable
• solana-web3-fixed
• solana-web3-fork
• solana-web3-lts
• solana-web3-patched
• solana-web3-v1
• solana-js-client
• solana-rpc-client
• @solana-labs/web3.js
• @solana-labs/web3js
• @solana-labs/ancor
• solana-dev-tools
• solana-rpc-pool

2) 감염 확인 시 조치사항

1. 패키지 즉시 제거 및 정상 패키지(@solana/web3.js)로 교체
2. Solana 지갑 키 교체 - 기존 키로 보유한 자산을 새 지갑으로 즉시 이전
3. SSH 키 재생성 - 연결된 모든 서버의 authorized_keys 감사
4. AWS 자격 증명 교체 - IAM에서 기존 Access Key 비활성화
5. 환경 변수의 모든 비밀 값 교체 - API 토큰, 비밀번호 등
6. Solana CLI 설정 복원 - ~/.config/solana/cli/config.yml에서 RPC URL 확인
7. Linux crontab 검사 - crontab -l로 의심 항목 확인 및 제거
8. NPM/GitHub 토큰 revoke - 탈취 가능성이 있는 토큰 즉시 무효화
   

3) 조직 차원 대응

• 전사 프로젝트의 npm 의존성에서 상기 9개 패키지 및 @solana-labs/* 스코프 사용 여부 일괄 스캔
• 네트워크 로그에서 104.239.66.223 및 Node.js 프로세스의 api.telegram.org 접속 이력 확인
• Linux 시스템 crontab에서 csf6, csync, psync 키워드 일괄 검색
• CI/CD 파이프라인의 환경 변수 노출 여부 점검
• 빌드 결과물(번들 파일)에 IOC 문자열 포함 여부 확인

 

이번에 발견된 9개 악성 패키지는 정상 Solana SDK의 전체 코드를 포함하면서 Node.js용 빌드 파일 2개에 동일한 악성 페이로드를 삽입한 조직적인 타이포스쿼팅 기반 공급망 공격입니다. 다양한 신뢰성 키워드를 조합해 9개 패키지를 동시에 배포함으로써, 개발자가 어떤 검색어로 Solana 관련 패키지를 찾더라도 악성 패키지에 노출될 확률을 극대화한 것으로 판단됩니다.

 

기존 Telegram C2 기반 악성 패키지가 주로 정보 유출에 초점을 맞춘 것과 달리, 본 샘플은 getUpdates 폴링으로 공격자의 명령을 수신·실행하고 결과를 회신하는 완전한 양방향 C2 구조를 갖추고 있어 단순 정보 탈취 도구보다 Telegram Bot API 기반 RAT로 분류하는 것이 적절합니다. 

또한 C2 서버 IP와 Telegram Chat ID 추적을 통해 동일 공격자의 이전 @solana-labs 스코프 타이포스쿼팅 캠페인이 확인되었으며, 봇을 교체하면서도 동일 인프라를 유지한 채 페이로드를 지속적으로 발전시켜 온 정황으로 볼 때 향후 추가 캠페인의 가능성도 배제할 수 없습니다.

 

npm 패키지를 설치할 때는 반드시 공식 스코프(@solana/)의 패키지인지 확인하고, 이름이 유사한 비공식 패키지에 주의하시기 바랍니다.

 

IoC

Indicator	Type	Description	Detection Name
84F77C39211D333FBCBBFA07DD9376E1	MD5	js파일	Trojan.JS.RAT
36B61B295C684277FD61FABBF3683C65	MD5	js파일	Trojan.JS.RAT
1E463CB2CB5C6871132ABDC39A59C3C0	MD5	solana-web3-community-1.0.5.tar	Trojan.JS.RAT
E14B9E571510E7C5E6E7CC6F1ED20F6E	MD5	solana-js-client-1.0.0.tar	Trojan.JS.RAT
30D61603FEDC9683A0AA350BA9E738C0	MD5	solana-rpc-client-1.0.0.tar	Trojan.JS.RAT
9BD4AF76728879D6E194FD8E8A0BD0FA	MD5	solana-web3-fixed-1.0.0.tar	Trojan.JS.RAT
F857C91A959029843C1427DC43D1485F	MD5	solana-web3-fork-1.0.0.tar	Trojan.JS.RAT
8DF74054C60571C08201B6E9EB0C499E	MD5	solana-web3-lts-1.0.0.tar	Trojan.JS.RAT
35111C7876418221458EC304983A643C	MD5	solana-web3-patched-1.0.0.tar	Trojan.JS.RAT
F876F133326EBA957B601BBF7B9C9BA5	MD5	solana-web3-stable-1.0.0.tar	Trojan.JS.RAT
6E947AA38ADA5A4FEE3FF87567C7015A	MD5	solana-web3-v1-1.0.0.tar	Trojan.JS.RAT
104.239.66.223		C2
8870595195:AAHcwv2ZMYZU9ia_xjHGR5veBQTQ1FH_rOY		Bot Token
8628389567:AAHeoLi034Vg6JIXsC_vqP-v-PXH2FhZIG4		Bot Token
8346336575		Telegram Chat ID