Một phần mềm độc hại tiền điện tử do AI tạo ra được ngụy trang thành gói thông thường đã rút cạn ví trong vài giây, khai thác các hệ sinh thái mã nguồn mở và gây ra những lo ngại khẩn cấp trên toàn cộng đồng blockchain và các nhà phát triển.
Ví Tiền Mã Hóa Được Tạo Bởi AI Vượt Qua Công Cụ Bảo Mật, Làm Trống Số Dư Nhanh Chóng
TÁC GIẢ
CHIA SẺ
Bên trong Trình Rút Ví Tiền Điện Tử: Cách Một Kịch Bản Chuyển Tiền trong Vài Giây
Các nhà đầu tư tiền điện tử đã được cảnh báo sau khi công ty an ninh mạng Safety tiết lộ vào ngày 31 tháng 7 rằng một gói JavaScript độc hại được thiết kế bằng trí tuệ nhân tạo (AI) đã được sử dụng để đánh cắp tiền từ các ví tiền điện tử. Ngụy trang dưới dạng một tiện ích vô hại có tên @kodane/patch-manager trên registry của Node Package Manager (NPM), gói này chứa các script nhúng được thiết kế để rút sạch số dư ví. Paul McCarty, trưởng bộ phận nghiên cứu tại Safety, giải thích:
Công nghệ phát hiện gói độc hại của Safety đã phát hiện ra một gói NPM độc hại do AI tạo ra hoạt động như một trình rút ví tiền điện tử tinh vi, nhấn mạnh cách các tác nhân đe dọa đang tận dụng AI để tạo ra các phần mềm độc hại thuyết phục và nguy hiểm hơn.
Gói đã thực thi các script sau khi cài đặt, triển khai các tệp đã đổi tên—monitor.js, sweeper.js và utils.js—vào các thư mục ẩn trên các hệ thống Linux, Windows và macOS. Một script nền, connection-pool.js, đã duy trì kết nối hoạt động với máy chủ điều khiển và chỉ huy (C2), quét các thiết bị bị nhiễm để tìm các tệp ví. Khi được phát hiện, transaction-cache.js đã khởi tạo việc đánh cắp thực tế: “Khi một tệp ví tiền điện tử được tìm thấy, tệp này thực sự thực hiện việc ‘sweeping’ nghĩa là rút tiền từ ví. Nó làm điều này bằng cách xác định nội dung gì trong ví, sau đó rút phần lớn trong đó.”
Các tài sản bị đánh cắp đã được định tuyến qua một điểm cuối Remote Procedure Call (RPC) được mã hóa cứng tới một địa chỉ cụ thể trên blockchain Solana. McCarty bổ sung:
Trình rút tiền được thiết kế để đánh cắp tiền từ các nhà phát triển không nghi ngờ và người dùng của các ứng dụng của họ.
Được công bố vào ngày 28 tháng 7 và bị gỡ bỏ vào ngày 30 tháng 7, phần mềm độc hại này đã được tải xuống hơn 1.500 lần trước khi NPM đánh dấu nó là độc hại. Safety, có trụ sở tại Vancouver, nổi tiếng với cách tiếp cận ưu tiên ngăn chặn đối với bảo mật chuỗi cung ứng phần mềm. Các hệ thống AI của hãng phân tích hàng triệu bản cập nhật gói mã nguồn mở, duy trì một cơ sở dữ liệu độc quyền phát hiện nhiều lỗ hổng bảo mật gấp bốn lần so với các nguồn công khai. Những công cụ của công ty được sử dụng bởi các nhà phát triển cá nhân, các công ty Fortune 500 và các cơ quan chính phủ.
