Egy rutincsomagnak álcázott, AI-generált kriptovaluta malware néhány másodperc alatt ürítette ki a pénztárcákat, kihasználva a nyílt forráskódú ökoszisztémákat, sürgős aggályokat keltve a blokklánc és fejlesztői közösségekben.
AI által készített kriptotárca ürítő eszköz megkerüli a biztonsági eszközöket, gyorsan kiüríti az egyenlegeket
ÍRTA
MEGOSZTÁS
A kripto pénztárca eltérítő belsejében: Hogyan mozgatott egy script pénzeszközöket másodpercek alatt
A kriptovaluta befektetők éberek lettek, miután a Safety kiberbiztonsági cég nyilvánosságra hozta július 31-én, hogy egy mesterséges intelligenciával (AI) tervezett rosszindulatú JavaScript csomagot használtak kriptovaluta pénztárcákból való pénzlopásra. Az ártalmatlan segédprogramnak álcázott @kodane/patch-manager csomag a Node Package Manager (NPM) jegyzékében beágyazott skripteket tartalmazott, amelyek a pénztárca egyenlegek kiszivattyúzására lettek megalkotva. Paul McCarty, a Safety kutatási vezetője elmondta:
A Safety rosszindulatú csomag detekciós technológiája felfedezett egy AI által generált rosszindulatú NPM csomagot, amely kifinomult kriptovaluta pénztárca eltérítőként működik, kiemelve, hogy a fenyegetés szereplői hogyan használják az AI-t meggyőzőbb és veszélyesebb rosszindulatú szoftverek létrehozására.
A csomag a telepítés után végrehajtott skripteket, átnevezett fájlokat — monitor.js, sweeper.js és utils.js — telepített rejtett könyvtárakba Linux, Windows és macOS rendszereken. A háttérscript, a connection-pool.js, aktív kapcsolatot tartott fenn egy parancs- és vezérlő (C2) szerverrel, átvizsgálva a fertőzött eszközöket pénztárca fájlok után kutatva. Amint detektálásra került, a transaction-cache.js elkezdte a tényleges lopást: „Amikor egy kriptopénz pénztárca fájl találatot kap, ez a fájl végzi a „kisöpörést”, ami a pénzek kiszivattyúzása a pénztárcából. Ezt úgy teszi meg, hogy beazonosítja, mi van a pénztárcában, majd kiszivattyúzza a legtöbbet belőle.”
A lopott eszközök egy előre beállított Remote Procedure Call (RPC) végpontján keresztül egy meghatározott címre lettek átirányítva a Solana blokkláncon. McCarty hozzátette:
A drénőr célja, hogy lopjon a gyanútlan fejlesztők és alkalmazásaik felhasználóinak pénzeszközeiből.
A malware július 28-án került publikálásra és július 30-án eltávolították, több mint 1500 alkalommal lett letöltve, mielőtt az NPM rosszindulatúként jelölte meg. A Vancouver-i székhelyű Safety a szoftverellátási lánc biztonságának megelőző szemléletéről ismert. AI vezérelt rendszerei milliónyi nyílt forráskódú csomagfrissítést elemeznek, fenntartva egy saját fejlesztésű adatbázist, amely négyszer több sérülékenységet észlel, mint a nyilvános források. A vállalat eszközeit egyéni fejlesztők, Fortune 500 cégek és kormányzati szervek használják.
