Ein von KI generiertes Krypto-Malware, getarnt als Routinepaket, leerte Wallets in Sekunden, indem es Open-Source-Ökosysteme ausnutzte und dringende Bedenken in der Blockchain- und Entwicklergemeinschaft auslöste.
KI-erstellt: Krypto-Wallet-Drainer umgeht Sicherheitstools, leert schnell Guthaben
GESCHRIEBEN VON
TEILEN
Im Inneren des Krypto-Wallet-Drainers: Wie ein Skript in Sekunden Gelder bewegte
Krypto-Investoren wurden alarmiert, nachdem die Cybersicherheitsfirma Safety am 31. Juli enthüllte, dass ein bösartiges JavaScript-Paket, das mit künstlicher Intelligenz (KI) entworfen wurde, verwendet wurde, um Gelder aus Krypto-Wallets zu stehlen. Getarnt als ein harmloses Dienstprogramm namens @kodane/patch-manager im Node Package Manager (NPM)-Register, enthielt das Paket eingebettete Skripte, die entwickelt wurden, um Wallet-Salden zu leeren. Paul McCarty, Leiter der Forschung bei Safety, erläuterte:
Die bösartige Paket-Erkennungstechnologie von Safety hat ein KI-generiertes bösartiges NPM-Paket entdeckt, das als ausgefeilter Krypto-Wallet-Drainer fungiert und aufzeigt, wie Bedrohungsakteure KI nutzen, um überzeugendere und gefährlichere Malware zu erstellen.
Das Paket führte Skripte nach der Installation aus und setzte umbenannte Dateien—monitor.js, sweeper.js und utils.js—in versteckte Verzeichnisse auf Linux-, Windows- und macOS-Systemen ein. Ein Hintergrundskript, connection-pool.js, hielt eine aktive Verbindung zu einem Command-and-Control (C2)-Server aufrecht, der infizierte Geräte nach Wallet-Dateien scannte. Sobald sie erkannt wurden, leitete transaction-cache.js den eigentlichen Diebstahl ein: “Wenn eine Krypto-Wallet-Datei gefunden wird, führt diese Datei tatsächlich das ‘Abkehren’ durch, was das Leeren der Mittel aus der Wallet ist. Dies geschieht, indem ermittelt wird, was sich in der Wallet befindet, und dann der größte Teil davon geleert wird.”
Die gestohlenen Vermögenswerte wurden über einen fest codierten Remote Procedure Call (RPC)-Endpunkt an eine bestimmte Adresse auf der Solana-Blockchain geleitet. McCarty fügte hinzu:
Der Drainer ist darauf ausgelegt, Gelder von ahnungslosen Entwicklern und den Nutzern ihrer Anwendungen zu stehlen.
Veröffentlicht am 28. Juli und am 30. Juli entfernt, wurde die Malware über 1.500 Mal heruntergeladen, bevor NPM sie als bösartig kennzeichnete. Safety, mit Sitz in Vancouver, ist bekannt für seinen präventionsorientierten Ansatz zur Sicherheit der Software-Lieferkette. Seine KI-gesteuerten Systeme analysieren Millionen von Open-Source-Paket-Updates und führen eine proprietäre Datenbank, die viermal so viele Schwachstellen wie öffentliche Quellen erkennt. Die Tools des Unternehmens werden von einzelnen Entwicklern, Fortune 500-Unternehmen und Regierungsbehörden genutzt.
