Malware de Criptomonedas Generado por IA
Un malware de criptomonedas generado por inteligencia artificial (IA) y disfrazado como un paquete rutinario ha logrado drenar billeteras en cuestión de segundos, explotando ecosistemas de código abierto y generando preocupaciones urgentes en las comunidades de blockchain y entre los desarrolladores.
Alerta de Ciberseguridad
Los inversores en criptomonedas fueron alertados después de que la firma de ciberseguridad Safety revelara, el 31 de julio, que un paquete malicioso de JavaScript diseñado con IA había sido utilizado para robar fondos de billeteras de criptomonedas. Disfrazado como una utilidad benigna en el registro de Node Package Manager (NPM), el paquete contenía scripts incrustados diseñados para drenar los saldos de las billeteras.
Paul McCarty, jefe de investigación en Safety, explicó: «La tecnología de detección de paquetes maliciosos de Safety ha descubierto un paquete malicioso de NPM generado por IA que funciona como un sofisticado drenador de billeteras de criptomonedas, destacando cómo los actores de amenazas están aprovechando la IA para crear malware más convincente y peligroso.»
Funcionamiento del Malware
El paquete ejecutó scripts tras la instalación, desplegando archivos renombrados—monitor.js, sweeper.js y utils.js—en directorios ocultos en sistemas Linux, Windows y macOS. Un script en segundo plano, connection-pool.js, mantenía una conexión activa con un servidor de comando y control (C2), escaneando dispositivos infectados en busca de archivos de billetera.
Una vez detectados, transaction-cache.js iniciaba el robo real:
«Cuando se encuentra un archivo de billetera de criptomonedas, este archivo realmente realiza el ‘barrido’, que es el drenaje de fondos de la billetera. Lo hace identificando qué hay en la billetera y luego drenando la mayor parte de ello.»
Los activos robados eran dirigidos a través de un punto final de Llamada a Procedimiento Remoto (RPC) codificado a una dirección específica en la blockchain de Solana. McCarty agregó:
«El drenador está diseñado para robar fondos de desarrolladores desprevenidos y de los usuarios de sus aplicaciones.»
Impacto y Prevención
Publicado el 28 de julio y eliminado el 30 de julio, el malware fue descargado más de 1,500 veces antes de que NPM lo marcara como malicioso. Safety, con sede en Vancouver, es conocida por su enfoque preventivo en la seguridad de la cadena de suministro de software. Sus sistemas impulsados por IA analizan millones de actualizaciones de paquetes de código abierto, manteniendo una base de datos propietaria que detecta cuatro veces más vulnerabilidades que las fuentes públicas. Las herramientas de la firma son utilizadas por desarrolladores individuales, empresas Fortune 500 y agencias gubernamentales.
