محفظة تشفير مكونة بواسطة الذكاء الاصطناعي تتجاوز أدوات الأمان، وتعمد على إفراغ الأرصدة بسرعة

داخل مستنزف المحفظة المشفرة: كيف حركت سكريبت واحدة الأموال في ثوانٍ

تم تنبيه مستثمري العملات المشفرة بعد أن كشفت شركة الأمن السيبراني Safety في 31 يوليو أن حزمة جافاسكريبت خبيثة تم تصميمها بالذكاء الاصطناعي تم استخدامها لسرقة الأموال من المحافظ المشفرة. متنكرة كمرفق بريء يسمى @kodane/patch-manager في سجل مدير حزم Node (NPM)، احتوت الحزمة على سكريبتات مدمجة مصممة لاستنزاف أرصدة المحافظ. أوضح بول مكارتي، رئيس البحث في Safety:

اكتشفت تقنية اكتشاف الحزم الخبيثة لدينا حزمة NPM خبيثة تم إنشاؤها بواسطة الذكاء الاصطناعي وتعمل كمستنزف متطور للمحافظ المشفرة، مما يبرز كيف يستخدم المهاجمون الذكاء الاصطناعي لإنشاء برمجيات خبيثة أكثر إقناعًا وخطورة.

نفذت الحزمة سكريبتات بعد التثبيت، مما أدى إلى نشر ملفات معاد تسميتها—monitor.js وsweeper.js وutils.js—في أدلة مخفية عبر أنظمة Linux وWindows وmacOS. واصل سكريبت خلفي، connection-pool.js، الاتصال النشط بخادم القيادة والتحكم (C2)، حيث يقوم بفحص الأجهزة المصابة بحثًا عن ملفات المحفظة. بمجرد اكتشافه، بدأ transaction-cache.js في السرقة الفعلية: “عندما يتم العثور على ملف محفظة مشفرة، يقوم هذا الملف بالفعل بعملية ’الكنس‘ وهي استنزاف الأموال من المحفظة. يقوم ذلك بتحديد ما في المحفظة ثم استنزاف جزء كبير منه.”

تم توجيه الأصول المسروقة عبر نقطة نهاية دعوة إجراء عن بعد (RPC) مبرمجة إلى عنوان محدد على بلوكشين سولانا. وأضاف مكارتي:

تم تصميم المستنزف لسرقة الأموال من المطورين غير المدركين ومن مستخدمي تطبيقاتهم.

تم نشر البرمجيات الخبيثة في 28 يوليو وتمت إزالتها في 30 يوليو، وقد تم تحميلها أكثر من 1,500 مرة قبل أن يسجلها NPM كخبيثة. تُعرف شركة Safety، التي تتخذ من فانكوفر مقرًا لها، بنهجها الوقائي أولًا لأمان سلسلة التوريد البرمجية. تقوم أنظمتها التي يقودها الذكاء الاصطناعي بتحليل ملايين من تحديثات الحزم المفتوحة المصدر، وتحتفظ بقاعدة بيانات خاصة تكشف عن أربعة أضعاف الثغرات مقارنة بالمصادر العامة. تستخدم أدوات الشركة بواسطة المطورين الأفراد وشركات Fortune 500 والوكالات الحكومية.