Et AI-generert kryptomalware forkledd som en rutinepakke tømte lommebøker på sekunder, utnyttet open-source økosystemer og utløste akutte bekymringer i blokkjede- og utviklermiljøene.
AI-laget kryptolommebok-tømmer omgår sikkerhetsverktøy, tømmer saldoer raskt
SKREVET AV
DEL
Inne i Crypto Wallet Drainer: Hvordan ett skript flyttet midler på sekunder
Kryptoinvestorer ble varslet etter at cybersikkerhetsselskapet Safety avslørte 31. juli at en ondsinnet JavaScript-pakke designet med kunstig intelligens (AI) hadde blitt brukt til å stjele midler fra kryptolommebøker. Forkledd som et harmløst verktøy kalt @kodane/patch-manager på Node Package Manager (NPM) registeret, inneholdt pakken innebygde skript konstruert for å tømme lommebokbalanser. Paul McCarty, forskningssjef hos Safety, forklarte:
Safetys teknologi for oppdagelse av ondsinnede pakker har oppdaget en AI-generert ondsinnet NPM-pakke som fungerer som en sofistikert kryptovaluta lommebokdrainer, og fremhever hvordan trusselaktører utnytter AI for å skape mer overbevisende og farlig malware.
Pakken utførte skript etter installasjon, og distribuerte omdøpte filer—monitor.js, sweeper.js og utils.js—til skjulte kataloger over Linux, Windows og macOS-systemer. Et bakgrunnsskript, connection-pool.js, opprettholdt en aktiv forbindelse til en command-and-control (C2) server, og skannet infiserte enheter for lommebokfiler. Når den ble oppdaget, igangsatte transaction-cache.js det faktiske tyveriet: “Når en kryptolommebokfil blir funnet, utfører denne filen den faktiske ‘søppelingen’ som er tømmingen av midlene fra lommeboken. Det gjør dette ved å identifisere hva som er i lommeboken, og deretter tømme det meste av det.”
De stjålne eiendelene ble rutet gjennom et hardkodet Remote Procedure Call (RPC) endepunkt til en spesifikk adresse på Solana blokkjeden. McCarty la til:
Draineren er designet for å stjele midler fra intetanende utviklere og brukere av deres applikasjoner.
Publisert 28. juli og fjernet 30. juli, ble malwaren lastet ned over 1500 ganger før NPM flagget den som ondsinnet. Safety, basert i Vancouver, er kjent for sin forebyggende tilnærming til programvareforsyningskjede sikkerhet. Dens AI-drevne systemer analyserer millioner av open-source pakkeoppdateringer, og vedlikeholder en proprietær database som oppdager fire ganger flere sårbarheter enn offentlige kilder. Firmets verktøy brukes av individuelle utviklere, Fortune 500-selskaper, og offentlige byråer.
