Krypto-Malware im Open-Source-Ökosystem
Ein KI-generiertes Krypto-Malware-Programm, das sich als nützliches Paket tarnt, hat in Sekundenschnelle Wallets geleert, indem es Open-Source-Ökosysteme ausnutzte und damit dringende Bedenken in der Blockchain- und Entwicklergemeinschaft aufwarf. Krypto-Investoren wurden alarmiert, nachdem das Cybersicherheitsunternehmen Safety am 31. Juli enthüllte, dass ein bösartiges JavaScript-Paket, das mit künstlicher Intelligenz (KI) entwickelt wurde, verwendet wurde, um Gelder aus Krypto-Wallets zu stehlen.
Die Funktionsweise der Malware
Getarnt als nützliches Dienstprogramm im Node Package Manager (NPM) Registry, enthielt das Paket eingebettete Skripte, die darauf ausgelegt waren, Wallet-Guthaben zu leeren. Paul McCarty, Leiter der Forschung bei Safety, erklärte:
„Die bösartige Paket-Erkennungstechnologie von Safety hat ein KI-generiertes bösartiges NPM-Paket entdeckt, das als ausgeklügelter Krypto-Wallet-Drainer fungiert und zeigt, wie Bedrohungsakteure KI nutzen, um überzeugendere und gefährlichere Malware zu erstellen.“
Nach der Installation führte das Paket Skripte aus und platzierte umbenannte Dateien – monitor.js, sweeper.js und utils.js – in versteckten Verzeichnissen auf Linux, Windows und macOS-Systemen. Ein Hintergrundskript namens connection-pool.js hielt eine aktive Verbindung zu einem Command-and-Control (C2)-Server aufrecht und scannte infizierte Geräte nach Wallet-Dateien.
Der Diebstahl von Krypto-Vermögenswerten
Sobald eine Wallet-Datei erkannt wurde, initiierte transaction-cache.js den tatsächlichen Diebstahl:
„Wenn eine Krypto-Wallet-Datei gefunden wird, führt diese Datei tatsächlich das ‚Sweeping‘ durch, was das Leeren von Geldern aus der Wallet bedeutet. Es geschieht, indem identifiziert wird, was sich in der Wallet befindet, und dann wird der Großteil davon geleert.“
Die gestohlenen Vermögenswerte wurden über einen fest codierten Remote Procedure Call (RPC)-Endpunkt an eine spezifische Adresse auf der Solana-Blockchain geleitet. McCarty fügte hinzu:
„Der Drainer ist darauf ausgelegt, Gelder von ahnungslosen Entwicklern und den Nutzern ihrer Anwendungen zu stehlen.“
Verbreitung und Reaktion
Veröffentlicht am 28. Juli und bis zum 30. Juli entfernt, wurde die Malware über 1.500 Mal heruntergeladen, bevor NPM sie als bösartig kennzeichnete. Safety, mit Sitz in Vancouver, ist bekannt für seinen präventiven Ansatz zur Sicherheit der Software-Lieferkette. Die KI-gesteuerten Systeme des Unternehmens analysieren Millionen von Updates für Open-Source-Pakete und pflegen eine proprietäre Datenbank, die viermal mehr Schwachstellen erkennt als öffentliche Quellen. Die Werkzeuge des Unternehmens werden von einzelnen Entwicklern, Fortune-500-Unternehmen und Regierungsbehörden genutzt.
