Um malware de criptomoeda gerado por IA disfarçado como um pacote rotineiro esvaziou carteiras em segundos, explorando ecossistemas de código aberto e gerando preocupações urgentes nas comunidades de blockchain e desenvolvedores.
Dentro do Drainer de Carteiras Cripto: Como um Script Moveu Fundos em Segundos
Os investidores em criptomoedas foram colocados em alerta após a empresa de cibersegurança Safety revelar, a 31 de julho, que um pacote de JavaScript malicioso projetado com inteligência artificial (AI) tinha sido usado para roubar fundos de carteiras de criptomoedas. Disfarçado como uma utilidade benigna chamada @kodane/patch-manager no registro do Node Package Manager (NPM), o pacote continha scripts embutidos projetados para drenar saldos de carteiras. Paul McCarty, chefe de pesquisa na Safety, explicou:
A tecnologia de deteção de pacotes maliciosos da Safety descobriu um pacote NPM malicioso gerado por IA que funciona como um sofisticado drenador de carteiras de criptomoedas, destacando como os atores de ameaça estão a aproveitar a IA para criar malware mais convincente e perigoso.
O pacote executou scripts após a instalação, implantando arquivos renomeados—monitor.js, sweeper.js e utils.js—em diretórios ocultos em sistemas Linux, Windows e macOS. Um script em segundo plano, connection-pool.js, mantinha uma conexão ativa com um servidor de comando e controle (C2), escaneando dispositivos infectados em busca de arquivos de carteira. Uma vez detectado, transaction-cache.js iniciava o roubo real: “Quando um arquivo de carteira de criptomoeda é encontrado, este arquivo na verdade faz a ‘limpeza’, que é o drenamento de fundos da carteira. Faz isso identificando o que está na carteira, e então drenando a maior parte.”
Os ativos roubados foram encaminhados através de uma chamada de procedimento remoto codificada (RPC) para um endereço específico na blockchain Solana. McCarty acrescentou:
O drainer é projetado para roubar fundos de desenvolvedores desavisados e dos usuários de suas aplicações.
Publicado em 28 de julho e removido a 30 de julho, o malware foi descarregado mais de 1.500 vezes antes de o NPM o sinalizar como malicioso. A Safety, com sede em Vancouver, é conhecida pela sua abordagem de prevenção em primeiro lugar à segurança da cadeia de suprimentos de software. Os seus sistemas impulsionados por IA analisam milhões de atualizações de pacotes de código aberto, mantendo uma base de dados proprietária que detecta quatro vezes mais vulnerabilidades do que fontes públicas. As ferramentas da empresa são utilizadas por desenvolvedores individuais, empresas da Fortune 500 e agências governamentais.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Drainer de Carteira Cripto Criado por IA Ultrapassa Ferramentas de Segurança, Esvazia Saldo Rapidamente
Um malware de criptomoeda gerado por IA disfarçado como um pacote rotineiro esvaziou carteiras em segundos, explorando ecossistemas de código aberto e gerando preocupações urgentes nas comunidades de blockchain e desenvolvedores.
Dentro do Drainer de Carteiras Cripto: Como um Script Moveu Fundos em Segundos
Os investidores em criptomoedas foram colocados em alerta após a empresa de cibersegurança Safety revelar, a 31 de julho, que um pacote de JavaScript malicioso projetado com inteligência artificial (AI) tinha sido usado para roubar fundos de carteiras de criptomoedas. Disfarçado como uma utilidade benigna chamada @kodane/patch-manager no registro do Node Package Manager (NPM), o pacote continha scripts embutidos projetados para drenar saldos de carteiras. Paul McCarty, chefe de pesquisa na Safety, explicou:
O pacote executou scripts após a instalação, implantando arquivos renomeados—monitor.js, sweeper.js e utils.js—em diretórios ocultos em sistemas Linux, Windows e macOS. Um script em segundo plano, connection-pool.js, mantinha uma conexão ativa com um servidor de comando e controle (C2), escaneando dispositivos infectados em busca de arquivos de carteira. Uma vez detectado, transaction-cache.js iniciava o roubo real: “Quando um arquivo de carteira de criptomoeda é encontrado, este arquivo na verdade faz a ‘limpeza’, que é o drenamento de fundos da carteira. Faz isso identificando o que está na carteira, e então drenando a maior parte.”
Os ativos roubados foram encaminhados através de uma chamada de procedimento remoto codificada (RPC) para um endereço específico na blockchain Solana. McCarty acrescentou:
Publicado em 28 de julho e removido a 30 de julho, o malware foi descarregado mais de 1.500 vezes antes de o NPM o sinalizar como malicioso. A Safety, com sede em Vancouver, é conhecida pela sua abordagem de prevenção em primeiro lugar à segurança da cadeia de suprimentos de software. Os seus sistemas impulsionados por IA analisam milhões de atualizações de pacotes de código aberto, mantendo uma base de dados proprietária que detecta quatro vezes mais vulnerabilidades do que fontes públicas. As ferramentas da empresa são utilizadas por desenvolvedores individuais, empresas da Fortune 500 e agências governamentais.