Un malware crypto généré par IA déguisé en package routinier a vidé les portefeuilles en quelques secondes, exploitant les écosystèmes open source et suscitant des préoccupations urgentes au sein des communautés blockchain et de développeurs.
Le vidangeur de portefeuille crypto conçu par l'IA contourne les outils de sécurité, vide les soldes rapidement
ÉCRIT PAR
PARTAGER
À l’intérieur du vidangeur de portefeuilles crypto : comment un script a transféré des fonds en secondes
Les investisseurs en crypto ont été mis en alerte après que l’entreprise de cybersécurité Safety a révélé le 31 juillet qu’un package JavaScript malveillant conçu avec l’intelligence artificielle (IA) avait été utilisé pour voler des fonds des portefeuilles crypto. Déguisé en un utilitaire bénin appelé @kodane/patch-manager sur le registre Node Package Manager (NPM), le package contenait des scripts intégrés conçus pour vider les soldes des portefeuilles. Paul McCarty, chef de la recherche chez Safety, a expliqué :
La technologie de détection de packages malveillants de Safety a découvert un package NPM malveillant généré par IA fonctionnant comme un vidangeur sophistiqué de portefeuilles de crypto-monnaie, soulignant comment les acteurs menaçants utilisent l’IA pour créer des malwares plus convaincants et plus dangereux.
Le package exécutait des scripts après l’installation, déployant des fichiers renommés—monitor.js, sweeper.js, et utils.js—dans des répertoires cachés sur les systèmes Linux, Windows et macOS. Un script d’arrière-plan, connection-pool.js, maintenait une connexion active à un serveur de commande et de contrôle (C2), scannant les appareils infectés pour rechercher des fichiers de portefeuille. Une fois détecté, transaction-cache.js lançait le vol proprement dit : « Lorsqu’un fichier de portefeuille crypto est trouvé, ce fichier effectue le ‘balayage’, c’est-à-dire le vidage des fonds du portefeuille. Il fait cela en identifiant ce qui est dans le portefeuille, puis en vidant la plupart de celui-ci. »
Les actifs volés étaient acheminés via un point de terminaison Remote Procedure Call (RPC) codé en dur vers une adresse spécifique sur la blockchain Solana. McCarty a ajouté :
Le vidangeur est conçu pour voler des fonds aux développeurs inattentifs et aux utilisateurs de leurs applications.
Publié le 28 juillet et supprimé le 30 juillet, le malware a été téléchargé plus de 1 500 fois avant que NPM ne le signale comme malveillant. Basée à Vancouver, Safety est connue pour son approche axée sur la prévention de la sécurité de la chaîne d’approvisionnement logicielle. Ses systèmes pilotés par l’IA analysent des millions de mises à jour de packages open source, maintenant une base de données propriétaire qui détecte quatre fois plus de vulnérabilités que les sources publiques. Les outils de l’entreprise sont utilisés par des développeurs individuels, des entreprises du Fortune 500 et des agences gouvernementales.
