Yapay zeka tarafından üretilen bir kripto kötü amaçlı yazılım, rutin bir paket gibi gizlenerek cüzdanları saniyeler içinde boşalttı, açık kaynak ekosistemlerini istismar etti ve blok zinciri ile geliştirici toplulukları arasında acil endişelere yol açtı.
AI Tarafından Oluşturulan Kripto Cüzdan Boşaltıcı, Güvenlik Araçlarını Atlatıyor ve Bakiyeleri Hızla Tüketiyor
YAZAN
PAYLAŞ
Kripto Cüzdan Boşaltıcısı: Tek Bir Skript Nasıl Saniyeler İçinde Fonları Hareket Ettirdi
Kripto yatırımcıları, siber güvenlik firması Safety’nin 31 Temmuz’da, yapay zeka (AI) ile tasarlanmış kötü amaçlı bir JavaScript paketinin kripto cüzdanlarından fon çalmak için kullanıldığını açıklaması üzerine alarma geçti. Node Paket Yöneticisi (NPM) kayıtlarında zararsız bir yardımcı program olan @kodane/patch-manager olarak kamufle edilen paket, cüzdan bakiyelerini boşaltmak üzere tasarlanmış gömülü skriptler içeriyordu. Safety araştırma başkanı Paul McCarty şöyle açıkladı:
Safety’nin kötü amaçlı paket tespit teknolojisi, tehdit aktörlerinin AI kullanarak daha ikna edici ve tehlikeli kötü amaçlı yazılımlar yaratmak için AI’yi nasıl kullandıklarını vurgulayan, AI tarafından üretilmiş sofistike bir kripto para cüzdanı boşaltıcısı olarak işlev gören kötü amaçlı bir NPM paketi keşfetti.
Paket, kurulum sonrası skriptler çalıştırarak, Linux, Windows ve macOS sistemlerinde gizli dizinlere monitor.js, sweeper.js ve utils.js adlı yeniden adlandırılmış dosyalar yerleştiriyordu. Arka plan skriptlerinden biri olan connection-pool.js, bir komut ve kontrol (C2) sunucusuna aktif bir bağlantı sürdürüyor, enfekte cihazlarda cüzdan dosyaları tarıyordu. Keşfedildiğinde, transaction-cache.js gerçek hırsızlığı başlattı: “Bir kripto cüzdan dosyası bulunduğunda, bu dosya aslında ‘süpürme’ işlemini yani cüzdandaki fonların boşaltılmasını gerçekleştirir. Bunu cüzdandaki fonları tespit ederek ve ardından büyük bir kısmını boşaltarak yapar.”
Çalınan varlıklar, Solana blok zincirinde belirli bir adrese sabit kodlanmış Uzaktan Prosedür Çağrısı (RPC) uç noktası aracılığıyla yönlendirildi. McCarty şunları ekledi:
Boşaltıcı, habersiz geliştiricilerin ve uygulama kullanıcılarından fon çalmak üzere tasarlandı.
28 Temmuz’da yayınlanan ve 30 Temmuz’da kaldırılan kötü amaçlı yazılım, NPM tarafından kötü niyetli olarak işaretlenmeden önce 1,500’den fazla kez indirildi. Vancouver merkezli Safety, yazılım tedarik zinciri güvenliğinde önleme odaklı yaklaşımıyla bilinir. AI destekli sistemleri, milyonlarca açık kaynak paket güncellemesini analiz ederek, kamu kaynaklarından dört kat fazla güvenlik açığını tespit eden kendi özel veritabanını korur. Firmanın araçları, bireysel geliştiriciler, Fortune 500 şirketleri ve devlet kurumları tarafından kullanılmaktadır.
