Introduction
Un malware crypto généré par IA, déguisé en package de routine, a réussi à vider des portefeuilles en quelques secondes, exploitant des écosystèmes open-source et suscitant des inquiétudes pressantes au sein des communautés blockchain et parmi les développeurs.
Alerte des investisseurs
Les investisseurs en cryptomonnaie ont été mis en alerte après que la société de cybersécurité Safety a révélé, le 31 juillet, qu’un package JavaScript malveillant conçu avec l’intelligence artificielle (IA) avait été utilisé pour voler des fonds de portefeuilles crypto. Déguisé en une utilité bénigne sur le registre Node Package Manager (NPM), le package contenait des scripts intégrés destinés à vider les soldes des portefeuilles.
Fonctionnement du malware
Paul McCarty, responsable de la recherche chez Safety, a expliqué : « La technologie de détection de packages malveillants de Safety a découvert un package NPM malveillant généré par IA qui fonctionne comme un drainer de portefeuille crypto sophistiqué, soulignant comment les acteurs malveillants exploitent l’IA pour créer des malwares plus convaincants et dangereux. »
Le package exécutait des scripts après installation, déployant des fichiers renommés—monitor.js, sweeper.js et utils.js—dans des répertoires cachés sur les systèmes Linux, Windows et macOS. Un script en arrière-plan, connection-pool.js, maintenait une connexion active à un serveur de commande et de contrôle (C2), scannant les appareils infectés à la recherche de fichiers de portefeuille.
Processus de vol
Une fois détecté, transaction-cache.js initiait le vol réel : « Lorsqu’un fichier de portefeuille crypto est trouvé, ce fichier effectue en réalité le ‘sweeping’, c’est-à-dire le vidage des fonds du portefeuille. Il le fait en identifiant ce qu’il y a dans le portefeuille, puis en drainant la plupart de celui-ci. »
Les actifs volés étaient acheminés via un point de terminaison d’appel de procédure à distance (RPC) codé en dur vers une adresse spécifique sur la blockchain Solana. McCarty a ajouté : « Le drainer est conçu pour voler des fonds à des développeurs non méfiants et aux utilisateurs de leurs applications. »
Impact et mesures de sécurité
Publié le 28 juillet et retiré le 30 juillet, le malware a été téléchargé plus de 1 500 fois avant que NPM ne le signale comme malveillant. Safety, basé à Vancouver, est reconnu pour son approche préventive en matière de sécurité de la chaîne d’approvisionnement logicielle. Ses systèmes pilotés par IA analysent des millions de mises à jour de packages open-source, maintenant une base de données propriétaire qui détecte quatre fois plus de vulnérabilités que les sources publiques. Les outils de la société sont utilisés par des développeurs individuels, des entreprises du Fortune 500 et des agences gouvernementales.
