AI-genereret Kryptovaluta-Malware
Et AI-genereret kryptovaluta-malware, der er camoufleret som en rutinepakke, tømte wallets på sekunder ved at udnytte open-source økosystemer og vække presserende bekymringer i blockchain- og udviklerfællesskaberne. Crypto-investorer blev advaret, efter at cybersikkerhedsfirmaet Safety afslørede den 31. juli, at en ondsindet JavaScript-pakke designet med kunstig intelligens (AI) var blevet brugt til at stjæle midler fra kryptovaluta-wallets.
Malware Detaljer
Camoufleret som et harmløst værktøj registreret på Node Package Manager (NPM), indeholdt pakken indlejrede scripts designet til at tømme wallet-saldoer. Paul McCarty, leder af forskning hos Safety, forklarede:
“Safetys teknologi til opdagelse af ondsindede pakker har identificeret en AI-genereret ondsindet NPM-pakke, der fungerer som en sofistikeret kryptovaluta wallet drainer, hvilket fremhæver, hvordan trusselaktører udnytter AI til at skabe mere overbevisende og farligt malware.”
Pakken udførte scripts efter installationen og deployerede omdøbte filer—monitor.js, sweeper.js og utils.js—til skjulte mapper på Linux-, Windows- og macOS-systemer. Et baggrundsscript, connection-pool.js, opretholdt en aktiv forbindelse til en command-and-control (C2) server og scannede inficerede enheder for wallet-filer.
Tyveri Processen
Når en wallet-fil blev opdaget, initierede transaction-cache.js den faktiske tyveri:
“Når en kryptovaluta wallet-fil findes, udfører denne fil faktisk ‘sweeping’, som er tømningen af midler fra wallet. Det gør dette ved at identificere, hvad der er i wallet, og derefter tømme det meste af det.”
De stjålne aktiver blev dirigeret gennem et hardcoded Remote Procedure Call (RPC) endpoint til en specifik adresse på Solana blockchain. McCarty tilføjede:
“Draineren er designet til at stjæle midler fra intetanende udviklere og deres applikationsbrugere.”
Distribution og Sikkerhed
Udgivet den 28. juli og fjernet den 30. juli, blev malware downloadet over 1.500 gange, før NPM markerede det som ondsindet. Safety, baseret i Vancouver, er kendt for sin forebyggelsesfokuserede tilgang til softwareforsyningskædesikkerhed. Dets AI-drevne systemer analyserer millioner af open-source pakkeopdateringer og opretholder en proprietær database, der opdager fire gange flere sårbarheder end offentlige kilder. Firmaets værktøjer bruges af individuelle udviklere, Fortune 500-virksomheder og regeringsagenturer.
