Созданное ИИ криптовалютное вредоносное ПО, замаскированное под стандартный пакет, опустошало кошельки за секунды, эксплуатируя экосистемы с открытым исходным кодом и вызывая срочные опасения среди блокчейн и разработчиков сообществ.
AI-созданный дренажный криптокошелек обходит инструменты безопасности, быстро опустошает балансы
АВТОР
ПОДЕЛИТЬСЯ
Внутри программы, опустошающей криптокошельки: как один скрипт перевел средства за секунды
Инвесторы в криптовалюту были предупреждены после того, как фирма по кибербезопасности Safety раскрыла 31 июля, что вредоносный пакет JavaScript, разработанный с использованием искусственного интеллекта (ИИ), был использован для кражи средств из криптокошельков. Замаскированный под безобидную утилиту под названием @kodane/patch-manager в реестре Node Package Manager (NPM), пакет содержал встроенные скрипты, разработанные для опустошения балансов кошельков. Пол МакКарти, глава исследовательского отдела Safety, объяснил:
Технология обнаружения вредоносных пакетов Safety выявила сгенерированный ИИ вредоносный пакет NPM, который функционирует как сложный инструмент для опустошения криптокошельков, подчеркивая, как злоумышленники используют ИИ для создания более убедительных и опасных вредоносных программ.
Пакет выполнял скрипты после установки, размещая переименованные файлы — monitor.js, sweeper.js и utils.js — в скрытых директориях на системах Linux, Windows и macOS. Фоновый скрипт, connection-pool.js, поддерживал активное соединение с сервером управления и контроля (C2), сканируя инфицированные устройства на наличие файлов кошельков. Как только они были обнаружены, transaction-cache.js запускал фактическую кражу: «Когда найден файл криптокошелька, этот файл фактически выполняет ‘опустошение’, то есть вывод средств из кошелька. Он делает это, определяя, что находится в кошельке, затем выводя большую часть из него.»
Похищенные активы передавались через зашитый R emote Procedure Call (RPC) endpoint на конкретный адрес в блокчейне Solana. МакКарти добавил:
Опустошитель предназначен для кражи средств у ничего не подозревающих разработчиков и пользователей их приложений.
Опубликованное 28 июля и удаленное 30 июля, вредоносное ПО было загружено более 1 500 раз, прежде чем NPM отметил его как вредоносное. Базирующаяся в Ванкувере компания Safety известна своим профилактическим подходом к обеспечению безопасности цепочки поставок программного обеспечения. Ее системы на базе ИИ анализируют миллионы обновлений пакетов с открытым исходным кодом, поддерживая частную базу данных, которая выявляет в четыре раза больше уязвимостей, чем публичные источники. Инструменты компании используются индивидуальными разработчиками, компаниями из списка Fortune 500 и государственными учреждениями.
