Um malware de criptomoeda gerado por IA disfarçado como um pacote rotineiro drenou carteiras em segundos, explorando ecossistemas de código aberto e provocando preocupações urgentes nas comunidades de blockchain e desenvolvedores.
Carteira de Criptomoeda Drenadora Criada por IA Contorna Ferramentas de Segurança e Esvazia Saldos Rapidamente
ESCRITO POR
PARTILHAR
Dentro do Drenador de Carteira de Criptomoeda: Como Um Script Moveu Fundos em Segundos
Investidores em criptomoedas foram alertados depois que a empresa de cibersegurança Safety revelou em 31 de julho que um pacote JavaScript malicioso projetado com inteligência artificial (IA) havia sido usado para roubar fundos de carteiras de criptomoeda. Disfarçado como uma utilidade benigna chamada @kodane/patch-manager no registro do Node Package Manager (NPM), o pacote continha scripts embutidos projetados para drenar saldos de carteiras. Paul McCarty, chefe de pesquisa da Safety, explicou:
A tecnologia de detecção de pacotes maliciosos da Safety descobriu um pacote NPM malicioso gerado por IA que funciona como um sofisticado drenador de carteiras de criptomoeda, destacando como atores maliciosos estão utilizando IA para criar malware mais convincente e perigoso.
O pacote executou scripts pós-instalação, implantando arquivos renomeados—monitor.js, sweeper.js e utils.js—em diretórios ocultos através de sistemas Linux, Windows e macOS. Um script em segundo plano, connection-pool.js, mantinha uma conexão ativa com um servidor de comando e controle (C2), escaneando dispositivos infectados em busca de arquivos de carteiras. Uma vez detectados, transaction-cache.js iniciou o roubo real: “Quando um arquivo de carteira de criptomoeda é encontrado, este arquivo faz a ‘varredura’, que é a drenagem de fundos da carteira. Ele faz isso identificando o que há na carteira, depois drenando a maior parte.”
Os ativos roubados foram direcionados através de um endpoint de Chamada de Procedimento Remoto (RPC) codificado para um endereço específico na blockchain Solana. McCarty acrescentou:
O drenador é projetado para roubar fundos de desenvolvedores desavisados e dos usuários de suas aplicações.
Publicado em 28 de julho e removido em 30 de julho, o malware foi baixado mais de 1.500 vezes antes de o NPM marcá-lo como malicioso. A Safety, com sede em Vancouver, é conhecida por sua abordagem preventiva à segurança da cadeia de suprimentos de software. Seus sistemas baseados em IA analisam milhões de atualizações de pacotes de código aberto, mantendo um banco de dados proprietário que detecta quatro vezes mais vulnerabilidades do que as fontes públicas. As ferramentas da empresa são usadas por desenvolvedores individuais, empresas da Fortune 500 e agências governamentais.
