Een door AI gegenereerde crypto-malware vermomd als een routinematig pakket leegt portemonnees in seconden, waarbij open-source ecosystemen worden uitgebuit en dringende zorgen worden gewekt binnen de blockchain- en ontwikkelaarsgemeenschappen.
AI-ontwikkelde Crypto Wallet Drainer Omzeilt Beveiligingshulpmiddelen, Leegt Balansen Snel
GESCHREVEN DOOR
DELEN
In de Crypto Wallet Drainer: Hoe Eén Script Fondsen in Seconden Verplaatste
Crypto-investeerders werden gealarmeerd nadat cybersecuritybedrijf Safety onthulde op 31 juli dat een kwaadaardig JavaScript-pakket ontworpen met kunstmatige intelligentie (AI) was gebruikt om geld van crypto-portemonnees te stelen. Vermomd als een onschadelijk hulpprogramma genaamd @kodane/patch-manager op het Node Package Manager (NPM) register, bevatte het pakket ingebedde scripts die waren ontworpen om saldo’s in portemonnees te legen. Paul McCarty, hoofd onderzoek bij Safety, legde uit:
Safety’s kwaadaardige pakketdetectietechnologie heeft een door AI gegenereerd kwaadaardig NPM-pakket ontdekt dat functioneert als een geavanceerde cryptocurrency-portemonnee leegmaker, wat laat zien hoe dreigingsactoren AI gebruiken om meer overtuigende en gevaarlijke malware te creëren.
Het pakket voerde scripts uit na installatie, waarbij hernoemde bestanden—monitor.js, sweeper.js, en utils.js—werden ingezet in verborgen mappen op Linux-, Windows- en macOS-systemen. Een achtergrondscript, connection-pool.js, hield een actieve verbinding met een command-and-control (C2) server in stand en scande geïnfecteerde apparaten op portemonneebestanden. Zodra gedetecteerd, initieerde transaction-cache.js de daadwerkelijke diefstal: “Wanneer een crypto-portemonneebestand wordt gevonden, voert dit bestand daadwerkelijk de ‘sweeping’ uit, wat het leegmaken van fondsen uit de portemonnee is. Het doet dit door te identificeren wat er in de portemonnee zit en daarna het grootste deel ervan te legen.”
De gestolen activa werden gerouteerd via een hardgecodeerd Remote Procedure Call (RPC) eindpunt naar een specifiek adres op de Solana blockchain. McCarty voegde toe:
De leegmaker is ontworpen om fondsen te stelen van nietsvermoedende ontwikkelaars en de gebruikers van hun toepassingen.
Gepubliceerd op 28 juli en verwijderd op 30 juli, werd de malware meer dan 1.500 keer gedownload voordat NPM het als kwaadaardig markeerde. Safety, gevestigd in Vancouver, staat bekend om zijn preventie-eerste benadering van beveiliging van de software toeleveringsketen. Zijn AI-gedreven systemen analyseren miljoenen open-source pakketupdates en onderhouden een eigen database die vier keer meer kwetsbaarheden detecteert dan openbare bronnen. De tools van het bedrijf worden gebruikt door individuele ontwikkelaars, Fortune 500-bedrijven en overheidsinstanties.
