Un malware criptográfico generado por IA disfrazado de un paquete de rutina vació carteras en segundos, explotando ecosistemas de código abierto y generando preocupaciones urgentes en las comunidades blockchain y de desarrolladores.
Drainer de monederos criptográficos creado por IA elude herramientas de seguridad, vacía saldos rápidamente
ESCRITO POR
COMPARTIR
Dentro del Drenador de Cartera Cripto: Cómo un Script Movió Fondos en Segundos
Los inversionistas de criptomonedas fueron alertados después de que la firma de ciberseguridad Safety reveló el 31 de julio que un paquete malicioso de JavaScript diseñado con inteligencia artificial (IA) había sido utilizado para robar fondos de carteras de criptomonedas. Disfrazado como una utilidad benigna llamada @kodane/patch-manager en el registro de Node Package Manager (NPM), el paquete contenía scripts embebidos diseñados para vaciar los saldos de las carteras. Paul McCarty, jefe de investigación en Safety, explicó:
La tecnología de detección de paquetes maliciosos de Safety ha descubierto un paquete malicioso de NPM generado por IA que funciona como un sofisticado drenador de carteras de criptomonedas, destacando cómo los actores delictivos están aprovechando la IA para crear malware más convincente y peligroso.
El paquete ejecutaba scripts después de la instalación, desplegando archivos renombrados—monitor.js, sweeper.js y utils.js—en directorios ocultos en sistemas Linux, Windows y macOS. Un script en segundo plano, connection-pool.js, mantenía una conexión activa con un servidor de comando y control (C2), escaneando dispositivos infectados en busca de archivos de carteras. Una vez detectados, transaction-cache.js iniciaba el robo real: “Cuando se encuentra un archivo de cartera de criptomonedas, este archivo realmente realiza el ‘drenaje’ que es el vaciado de fondos de la cartera. Lo hace identificando lo que hay en la cartera, luego drenando la mayor parte de ella.”
Los activos robados se enrutaron a través de un punto final de Llamada de Procedimiento Remoto (RPC) codificado a una dirección específica en la blockchain de Solana. McCarty añadió:
El drenador está diseñado para robar fondos de desarrolladores desprevenidos y los usuarios de sus aplicaciones.
Publicado el 28 de julio y eliminado el 30 de julio, el malware fue descargado más de 1,500 veces antes de que NPM lo marcara como malicioso. Safety, con sede en Vancouver, es conocida por su enfoque preventivo en la seguridad de la cadena de suministro de software. Sus sistemas impulsados por IA analizan millones de actualizaciones de paquetes de código abierto, manteniendo una base de datos propietaria que detecta cuatro veces más vulnerabilidades que fuentes públicas. Las herramientas de la firma son utilizadas por desarrolladores individuales, empresas de Fortune 500 y agencias gubernamentales.
