AI:lla luotu kryptovaluuttamalware, joka naamioitui rutiinipaketiksi, tyhjensi lompakot sekunneissa, hyökäten avoimen lähdekoodin ekosysteemeihin ja herättäen kiireellisiä huolia lohkoketju- ja kehittäjäyhteisöissä.
AI-luotettu kryptolompakon tyhjentäjä ohittaa turvatyökalut, tyhjentää saldot nopeasti
KIRJOITTAJA
JAA
Kryptovaluuttalompakon tyhjentäjän sisäpiiri: kuinka yksi skripti siirsi varoja sekunneissa
Krypto-sijoittajat olivat hälytysvalmiudessa, kun kyberturvallisuusyritys Safety paljasti 31. heinäkuuta, että haitallinen JavaScript-paketti, joka on suunniteltu tekoälyn (AI) avulla, oli käytetty varojen varastamiseen kryptolompakoista. Naamioituneena harmittomaksi työkaluksi nimeltä @kodane/patch-manager Node Package Manager (NPM) -rekisterissä, paketti sisälsi upotettuja skriptejä, jotka oli suunniteltu lompakkosaldojen tyhjentämiseen. Paul McCarty, Safetyn tutkimusjohtaja, selitti:
Safetyn haittaohjelmien tunnistusteknologia on löytänyt AI:lla luodun haitallisen NPM-paketin, joka toimii kehittyneenä kryptovaluuttalompakon tyhjentäjänä, mikä korostaa kuinka uhkatekijät hyödyntävät AI:ta luodakseen uskottavampia ja vaarallisempia haittaohjelmia.
Paketti suoritti skriptejä asennuksen jälkeen, jaetuista tiedostoista—monitor.js, sweeper.js, ja utils.js—uudelleen nimetyt tiedostot piilotetuissa hakemistoissa Linux-, Windows- ja macOS-järjestelmissä. Taustaskripti, connection-pool.js, ylläpiti aktiivista yhteyttä komentopohja (C2) -palvelimeen, skannaten tartunnan saaneita laitteita lompakkotiedostojen löytämiseksi. Kun ne havaittiin, transaction-cache.js käynnisti varsinaisen varkauden: “Kun kryptolompakkotiedosto löydetään, tämä tiedosto suorittaa todellisen ‘sweepauksen’, mikä on varojen tyhjentämistä lompakosta. Se tunnistaa, mitä lompakossa on, ja tyhjentää suurimman osan siitä.”
Varastetut varat ohjattiin kiinteäkoodatun Remote Procedure Call (RPC) -pään kautta tiettyyn osoitteeseen Solana-lohkoketjussa. McCarty lisäsi:
Tyhjentäjä on suunniteltu varastamaan varoja viattomilta kehittäjiltä ja heidän sovellustensa käyttäjiltä.
Julkaistu 28. heinäkuuta ja poistettu 30. heinäkuuta, haittaohjelmaa ladattiin yli 1 500 kertaa ennen kuin NPM merkitsi sen haitalliseksi. Safety, jonka kotipaikka on Vancouver, tunnetaan ennaltaehkäisevästä lähestymistavastaan ohjelmistotoimitusketjun tietoturvaan. Sen AI-ohjatut järjestelmät analysoivat miljoonia avoimen lähdekoodin pakettipäivityksiä, ylläpitäen omaa tietokantaa, joka löytää neljä kertaa enemmän haavoittuvuuksia kuin julkiset lähteet. Yrityksen työkaluja käyttävät yksittäiset kehittäjät, Fortune 500 -yritykset ja valtion virastot.
