Un malware crittografico generato da IA mascherato da un pacchetto di routine ha prosciugato portafogli in pochi secondi, sfruttando ecosistemi open-source e suscitando preoccupazioni urgenti tra le comunità blockchain e dei sviluppatori.
Drainatore di portafoglio crittografico creato da AI aggira strumenti di sicurezza, svuota saldi rapidamente
SCRITTO DA
CONDIVIDI
All’interno del Crypto Wallet Drainer: Come uno script ha spostato fondi in pochi secondi
Gli investitori in criptovalute sono stati messi in allerta dopo che la società di sicurezza informatica Safety ha rivelato il 31 luglio che un pacchetto JavaScript dannoso progettato con intelligenza artificiale (IA) era stato utilizzato per rubare fondi da portafogli crittografici. Mascherato come una utility innocua chiamata @kodane/patch-manager nel registro di Node Package Manager (NPM), il pacchetto conteneva script incorporati progettati per prosciugare i saldi dei portafogli. Paul McCarty, capo della ricerca presso Safety, ha spiegato:
La tecnologia di rilevamento di pacchetti dannosi di Safety ha scoperto un pacchetto NPM dannoso generato da IA che funziona come un sofisticato drainer di portafogli di criptovalute, mettendo in evidenza come gli attori delle minacce stiano sfruttando l’IA per creare malware più convincenti e pericolosi.
Il pacchetto eseguiva script dopo l’installazione, distribuendo file rinominati—monitor.js, sweeper.js e utils.js—nelle directory nascoste su sistemi Linux, Windows e macOS. Uno script in background, connection-pool.js, manteneva una connessione attiva a un server di comando e controllo (C2), scansionando i dispositivi infettati per file di portafoglio. Una volta rilevato, transaction-cache.js avviava il furto effettivo: “Quando viene trovato un file di portafoglio di criptovaluta, questo file esegue il ‘sweeping’, cioè il prosciugamento dei fondi dal portafoglio. Lo fa identificando ciò che è presente nel portafoglio, quindi prosciugandone la maggior parte.”
I beni rubati venivano instradati attraverso un endpoint di Remote Procedure Call (RPC) hardcoded verso un indirizzo specifico sulla blockchain di Solana. McCarty ha aggiunto:
Il drainer è progettato per rubare fondi agli sviluppatori ignari e agli utenti delle loro applicazioni.
Pubblicato il 28 luglio e rimosso il 30 luglio, il malware è stato scaricato oltre 1.500 volte prima che NPM lo segnalasse come dannoso. Safety, con sede a Vancouver, è conosciuta per il suo approccio primario alla prevenzione nella sicurezza della catena di fornitura del software. I suoi sistemi basati su IA analizzano milioni di aggiornamenti di pacchetti open-source, mantenendo un database proprietario che rileva quattro volte più vulnerabilità rispetto alle fonti pubbliche. Gli strumenti della società sono utilizzati da sviluppatori individuali, aziende Fortune 500 e agenzie governative.
