Вредоносное ПО для криптовалют
Вредоносное ПО для криптовалют, сгенерированное искусственным интеллектом и замаскированное под обычный пакет, опустошало кошельки за считанные секунды, используя открытые экосистемы и вызывая серьезные опасения среди сообществ блокчейна и разработчиков.
Предупреждение от Safety
Инвесторы в криптовалюту были предупреждены после того, как компания по кибербезопасности Safety сообщила 31 июля о злонамеренном пакете JavaScript, разработанном с использованием ИИ, который использовался для кражи средств из криптовалютных кошельков.
Замаскированный пакет
Замаскированный под безобидную утилиту, зарегистрированную в Node Package Manager (NPM), пакет содержал встроенные скрипты, предназначенные для опустошения балансов кошельков.
Пол Маккартни, руководитель исследований в Safety, объяснил: «Технология обнаружения вредоносных пакетов Safety выявила сгенерированный ИИ вредоносный пакет NPM, который функционирует как сложное устройство для опустошения криптовалютных кошельков, подчеркивая, как злоумышленники используют ИИ для создания более убедительного и опасного вредоносного ПО.»
Функциональность пакета
Пакет выполнял скрипты после установки, развертывая переименованные файлы — monitor.js, sweeper.js и utils.js — в скрытых каталогах на системах Linux, Windows и macOS. Фоновый скрипт connection-pool.js поддерживал активное соединение с сервером командного управления (C2), сканируя зараженные устройства на наличие файлов кошельков.
Процесс кражи
Как только файл кошелька был обнаружен, transaction-cache.js инициировал фактическую кражу:
«Когда файл криптовалютного кошелька найден, этот файл фактически выполняет ‘сметание’, то есть опустошение средств из кошелька. Он делает это, определяя, что находится в кошельке, а затем опустошая большую часть из него.»
Украденные активы перенаправлялись через жестко закодированную точку удаленного вызова процедур (RPC) на конкретный адрес в блокчейне Solana.
Заключение
Маккартни добавил: «Устройство для опустошения предназначено для кражи средств у ничего не подозревающих разработчиков и пользователей их приложений.» Опубликованное 28 июля и удаленное 30 июля, вредоносное ПО было загружено более 1500 раз, прежде чем NPM пометил его как вредоносное.
Safety, расположенная в Ванкувере, известна своим подходом к безопасности программного обеспечения, ориентированным на предотвращение. Ее системы, управляемые ИИ, анализируют миллионы обновлений пакетов с открытым исходным кодом, поддерживая собственную базу данных, которая обнаруживает в четыре раза больше уязвимостей, чем публичные источники. Инструменты компании используются индивидуальными разработчиками, компаниями из списка Fortune 500 и государственными учреждениями.
