Malware per Criptovalute Generato da AI
Un malware per criptovalute, generato da intelligenza artificiale (AI) e travestito da pacchetto di routine, ha svuotato i portafogli in pochi secondi, sfruttando ecosistemi open-source e suscitando preoccupazioni urgenti nelle comunità blockchain e tra gli sviluppatori.
Rivelazione della Cybersecurity
Gli investitori in criptovalute sono stati messi in allerta dopo che la società di cybersecurity Safety ha rivelato, il 31 luglio, che un pacchetto JavaScript malevolo progettato con AI era stato utilizzato per rubare fondi dai portafogli crypto. Travestito da un’utilità benigna nel registro Node Package Manager (NPM), il pacchetto conteneva script incorporati progettati per drenare i saldi dei portafogli.
Paul McCarty, responsabile della ricerca presso Safety, ha spiegato: “La tecnologia di rilevamento dei pacchetti malevoli di Safety ha scoperto un pacchetto NPM malevolo generato da AI che funge da sofisticato drainer di portafogli di criptovalute, evidenziando come gli attori delle minacce stiano sfruttando l’AI per creare malware più convincenti e pericolosi.”
Funzionamento del Malware
Il pacchetto eseguiva script dopo l’installazione, distribuendo file rinominati—monitor.js, sweeper.js e utils.js—in directory nascoste su sistemi Linux, Windows e macOS. Uno script in background, connection-pool.js, manteneva una connessione attiva a un server di comando e controllo (C2), esaminando i dispositivi infetti alla ricerca di file di portafoglio.
Una volta rilevato, transaction-cache.js avviava il furto vero e proprio: “Quando viene trovato un file di portafoglio crypto, questo file esegue effettivamente il ‘sweeping’, che è il drenaggio dei fondi dal portafoglio. Lo fa identificando cosa c’è nel portafoglio e quindi drenando la maggior parte di esso.”
Gli asset rubati venivano instradati attraverso un endpoint di Remote Procedure Call (RPC) hardcoded a un indirizzo specifico sulla blockchain di Solana. McCarty ha aggiunto: “Il drainer è progettato per rubare fondi da sviluppatori ignari e dagli utenti delle loro applicazioni.”
Impatto e Rimozione del Malware
Pubblicato il 28 luglio e rimosso il 30 luglio, il malware è stato scaricato oltre 1.500 volte prima che NPM lo segnalasse come malevolo. Safety, con sede a Vancouver, è nota per il suo approccio preventivo alla sicurezza della supply chain software. I suoi sistemi guidati dall’AI analizzano milioni di aggiornamenti di pacchetti open-source, mantenendo un database proprietario che rileva quattro volte più vulnerabilità rispetto alle fonti pubbliche.
Gli strumenti dell’azienda sono utilizzati da sviluppatori individuali, aziende Fortune 500 e agenzie governative.
