Ett AI-genererat kryptomjukvarupaket förklätt som ett rutinpaket tömde plånböcker på sekunder, utnyttjade öppen källkodsekosystem och väckte akuta bekymmer i blockchain- och utvecklarkretsar.
AI-tillverkad kryptoplånbokstömmare kringgår säkerhetsverktyg, tömmer saldon snabbt
SKRIVEN AV
DELA
Inuti Crypto Wallet Drainer: Hur ett skript flyttade medel på sekunder
Kryptoinvesterare var på alerten efter att cybersäkerhetsföretaget Safety avslöjade den 31 juli att ett skadligt JavaScript-paket designat med artificiell intelligens (AI) hade använts för att stjäla medel från kryptoplånböcker. Förklätt som ett harmlöst verktyg kallat @kodane/patch-manager på Node Package Manager (NPM) -registret, innehöll paketet inbäddade skript utformade för att tömma plånboksbalanser. Paul McCarty, chef för forskning på Safety, förklarade:
Safetys teknologi för detektering av skadliga paket har upptäckt ett AI-genererat skadligt NPM-paket som fungerar som en sofistikerad kryptovalutaplånboksdränerare, vilket belyser hur hotaktörer använder AI för att skapa mer övertygande och farligare skadlig programvara.
Paketet exekverade skript efter installation, och distribuerade omdöpta filer—monitor.js, sweeper.js, och utils.js—i dolda kataloger över Linux-, Windows- och macOS-system. Ett bakgrundsskript, connection-pool.js, upprätthöll en aktiv anslutning till en command-and-control (C2) server, och skannade infekterade enheter efter plånboksfiler. När de upptäcktes, initierade transaction-cache.js själva stölden: “När en kryptovalutaplånboksfil hittas, gör denna fil faktiskt själva ‘svepningen’ som är tömningen av medel från plånboken. Det gör det genom att identifiera vad som finns i plånboken, för att sedan tömma det mesta av den.”
De stulna tillgångarna dirigerades genom en hårdkodad Remote Procedure Call (RPC) endpoint till en specifik adress på Solana blockkedjan. McCarty tillade:
Dräneraren är utformad för att stjäla medel från intet ont anande utvecklare och deras applikations användare.
Publicerat den 28 juli och borttaget den 30 juli, laddades malwaren ner över 1 500 gånger innan NPM flaggade det som skadligt. Safety, baserat i Vancouver, är känd för sin förebyggande-första metod för säkerhet i programvarutillförsörjningskedjan. Dess AI-drivna system analyserar miljontals uppdateringar av öppen källkodspaket och upprätthåller en egen databas som detekterar fyra gånger fler sårbarheter än offentliga källor. Företagets verktyg används av enskilda utvecklare, Fortune 500-företag och statliga myndigheter.
