AI-generovaný kryptomenový malware maskovaný ako rutinný balíček vyprázdnil peňaženky v priebehu sekúnd, zneužívajúc open-source ekosystémy a vyvolávajúc naliehavé obavy v blockchainových a developerských komunitách.
AI-vytvorená kryptopeňaženka na odčerpanie obchádza bezpečnostné nástroje, rýchlo vyprázdňuje zostatky
NAPÍSAL
ZDIEĽAŤ
Vnútri odvodňovača krypto peňaženiek: Ako jeden skript presunul prostriedky v priebehu sekúnd
Krypto investori boli upozornení potom, ako kyberneticko-bezpečnostná firma Safety odhalila 31. júla, že škodlivý balíček JavaScriptu navrhnutý pomocou umelej inteligencie (AI) bol použitý na krádež finančných prostriedkov z krypto peňaženiek. Maskovaný ako neškodný utilitár s názvom @kodane/patch-manager v registri Node Package Manager (NPM), balíček obsahoval vložené skripty určené na vyprázdnenie zostatkov v peňaženkách. Paul McCarty, riaditeľ výskumu v Safety, vysvetlil:
Safetyho technológia detekcie škodlivých balíčkov objavila AI-generovaný škodlivý balíček NPM, ktorý funguje ako sofistikovaný odvodňovač kryptomenových peňaženiek, zdôrazňujúc, ako hrozby využívajú AI na tvorbu presvedčivejšieho a nebezpečnejšieho malwaru.
Balíček vykonával skripty po inštalácii, nasadzujúc premenované súbory—monitor.js, sweeper.js, a utils.js—do skrytých adresárov na systémoch Linux, Windows a macOS. Skript na pozadí, connection-pool.js, udržiaval aktívne spojenie s riadiacim serverom (C2), prehľadávajúc infikované zariadenia na súbory peňaženky. Po zistení, transaction-cache.js spustila skutočnú krádež: „Keď je nájdený súbor kryptomenovej peňaženky, tento súbor skutočne vykonáva ‚premetenie‘, čo je vyprázdnenie prostriedkov z peňaženky. Robí to identifikáciou toho, čo je v peňaženke, a následným vyprázdnením väčšiny z toho.“
Ukradnuté aktíva boli preposlané cez hardcoded Remote Procedure Call (RPC) endpoint na konkrétnu adresu na blockchainu Solana. McCarty doplnil:
Odvodňovač je navrhnutý na krádež prostriedkov od nič netušiacich developerov a používateľov ich aplikácií.
Zverejnený 28. júla a odstránený 30. júla, malware bol stiahnutý viac ako 1 500-krát predtým, ako ho NPM označil za škodlivý. Safety, so sídlom vo Vancouveri, je známa pre svoj prístup zameraný na prevenciu v oblasti bezpečnosti softvérového dodávateľského reťazca. Jej AI-riadené systémy analyzujú milióny aktualizácií open-source balíčkov, udržiavajúc proprietárnu databázu, ktorá detekuje štyrikrát viac zraniteľností ako verejné zdroje. Nástroje firmy používajú jednotliví developeri, spoločnosti z rebríčka Fortune 500 a vládne agentúry.
