Wygenerowane przez AI złośliwe oprogramowanie kryptowalutowe, udające rutynowy pakiet, opróżniło portfele w kilka sekund, wykorzystując ekosystemy open-source i wywołując pilne obawy wśród społeczności blockchain i deweloperów.
AI-stworzony drenaż portfela kryptograficznego omija narzędzia zabezpieczające, szybko opróżniając salda
NAPISAŁ
UDOSTĘPNIJ
Wewnątrz Odróżnika Portfela Kryptowalut: Jak Jeden Skrypt Przeniósł Środki w Sekundach
Inwestorzy kryptowalutowi zostali zaalarmowani po tym, jak firma cybersecurity Safety ujawniła 31 lipca, że złośliwy pakiet JavaScript zaprojektowany przy użyciu sztucznej inteligencji (AI) został użyty do kradzieży środków z portfeli kryptowalutowych. Podszywając się pod nieszkodliwą aplikację o nazwie @kodane/patch-manager w rejestrze Node Package Manager (NPM), pakiet zawierał wbudowane skrypty zaprojektowane do opróżniania sald portfeli. Paul McCarty, szef działu badań w Safety, wyjaśnił:
Technologia wykrywania złośliwych pakietów Safety odkryła wygenerowany przez AI złośliwy pakiet NPM, który działa jako wyrafinowany drainer portfela kryptowalutowego, podkreślając, jak aktorzy zagrożenia wykorzystują AI do tworzenia bardziej przekonującego i niebezpiecznego złośliwego oprogramowania.
Pakiet wykonywał skrypty po instalacji, wdrażając przemianowane pliki — monitor.js, sweeper.js i utils.js — do ukrytych katalogów na systemach Linux, Windows i macOS. Skrypt działający w tle, connection-pool.js, utrzymywał aktywne połączenie z serwerem dowodzenia i kontroli (C2), skanując zainfekowane urządzenia pod kątem plików portfela. Po wykryciu, transaction-cache.js inicjował rzeczywistą kradzież: „Kiedy zostanie znaleziony plik portfela kryptowalutowego, ten plik faktycznie wykonuje ‘wymiatanie’, czyli opróżnianie środków z portfela. Robi to przez identyfikację, co jest w portfelu, a następnie opróżnia większość z nich.”
Skradzione aktywa były kierowane przez zakodowany stały punkt wywołania zdalnej procedury (RPC) na określony adres na blockchainie Solana. McCarty dodał:
Drainer jest zaprojektowany, aby kraść fundusze od niczego niepodejrzewających deweloperów i użytkowników ich aplikacji.
Opublikowany 28 lipca i usunięty do 30 lipca, złośliwe oprogramowanie zostało pobrane ponad 1500 razy, zanim NPM oznaczyło je jako złośliwe. Safety, z siedzibą w Vancouver, jest znane z podejścia prewencyjnego do bezpieczeństwa łańcucha dostaw oprogramowania. Jego systemy napędzane przez AI analizują miliony aktualizacji pakietów open-source, utrzymując proprycyjną bazę danych, która wykrywa czterokrotnie więcej luk niż źródła publiczne. Narzędzia firmy są wykorzystywane przez indywidualnych deweloperów, firmy z listy Fortune 500 oraz agencje rządowe.
