Шкідливе програмне забезпечення для криптовалют, створене за допомогою штучного інтелекту та замасковане під рутинний пакет, спустошило гаманці за секунди, використовуючи відкриті екосистеми та викликавши нагальні занепокоєння в блокчейн та розробницьких спільнотах.
AI-створений крипто-гаманець для зливу коштів обходить інструменти безпеки, швидко спорожняючи баланси
АВТОР
ПОДІЛИТИСЯ
Всередині зловмисника криптогаманців: як один скрипт переміщував кошти за секунди
Інвестори в криптовалюту були попереджені після того, як фірма з кібербезпеки Safety розкрила 31 липня, що шкідливий пакет JavaScript, розроблений за допомогою штучного інтелекту (AI), було використано для крадіжки коштів з криптовалютних гаманців. Замаскований під безобідну утиліту під назвою @kodane/patch-manager в реєстрі Node Package Manager (NPM), пакет містив вбудовані скрипти, призначені для спустошення балансів гаманців. Пол МакКарті, голова досліджень у Safety, пояснив:
Технологія виявлення шкідливих пакетів Safety виявила створений AI шкідливий пакет NPM, що функціонує як складний зловмисник криптовалютних гаманців, підкреслюючи, як зловмисники використовують штучний інтелект для створення більш переконливого та небезпечного програмного забезпечення.
Пакет виконував скрипти після встановлення, розгортаючи перейменовані файли — monitor.js, sweeper.js та utils.js — у приховані каталоги на системах Linux, Windows та macOS. Фоновий скрипт connection-pool.js підтримував активне з’єднання з командним сервером управління (C2), скануючи інфіковані пристрої на наявність файлів гаманців. Як тільки файл був виявлений, transaction-cache.js розпочинав фактичну крадіжку: «Коли знаходиться файл криптогаманця, саме цей файл здійснює “свіпінг”, що є спустошенням коштів з гаманця. Це робиться шляхом визначення вмісту гаманця, а потім спустошення більшості з нього.»
Вкрадені активи маршрутизувалися через жорстко закодований кінцевий пункт Дистанційного Виклику Процедур (RPC) до певної адреси на блокчейні Solana. МакКарті додав:
Зловмисник призначений для крадіжки коштів у нічого не підозрюваних розробників та користувачів їх додатків.
Опублікований 28 липня і видалений 30 липня, цей шкідливий код був завантажений понад 1,500 разів до того, як NPM позначив його як шкідливий. Safety, базована у Ванкувері, відома своїм підходом за попередженням до безпеки програмного забезпечення. Її системи, керовані штучним інтелектом, аналізують мільйони оновлень відкритих пакетів, підтримуючи при цьому власну базу даних, яка виявляє в чотири рази більше вразливостей, ніж публічні джерела. Інструменти компанії використовуються як індивідуальними розробниками, так і компаніями з Fortune 500 та урядовими агентствами.
