Шкідливі програми, згенеровані штучним інтелектом, замасковані під звичайний пакет, висмоктували гаманці за лічені секунди, експлуатуючи екосистеми з відкритим вихідним кодом і викликаючи термінові занепокоєння в спільнотах блокчейну та розробників.
Всередині крадія крипто-гаманець: як один скрипт перемістив кошти за секунди
Криптоінвестори були поставлені на облік після того, як кібербезпекова компанія Safety 31 липня повідомила, що шкідливий пакет JavaScript, розроблений за допомогою штучного інтелекту (AI), був використаний для крадіжки коштів з криптогаманців. Замаскований під безпечну утиліту під назвою @kodane/patch-manager на реєстрі Node Package Manager (NPM), пакет містив вбудовані скрипти, призначені для витрачання балансу гаманців. Пол МакКарті, керівник досліджень у Safety, пояснив:
Технологія виявлення шкідливих пакетів Safety виявила AI-генерований шкідливий пакет NPM, який функціонує як складний дренажник криптовалютних гаманців, підкреслюючи, як зловмисники використовують AI для створення більш переконливих і небезпечних шкідливих програм.
Пакет виконав сценарії після установки, розгортаючи перейменовані файли—monitor.js, sweeper.js та utils.js—у прихованих каталогах на системах Linux, Windows та macOS. Фоновий сценарій, connection-pool.js, підтримував активне з'єднання з командно-контрольним (C2) сервером, скануючи інфіковані пристрої на наявність файлів гаманців. Щойно було виявлено, transaction-cache.js ініціював фактичну крадіжку: "Коли файл гаманця криптовалюти знайдено, цей файл фактично виконує 'сміття', що є висмоктуванням коштів з гаманця. Він робить це, виявляючи, що є в гаманці, а потім висмоктуючи більшу частину з нього."
Викрадені активи були передані через заздалегідь заданий Remote Procedure Call (RPC) до конкретної адреси на блокчейні Solana. McCarty додав:
Дрейнер призначений для крадіжки коштів у нічого не підозрюючих розробників та користувачів їхніх додатків.
Опубліковано 28 липня та видалено 30 липня, шкідливі програми були завантажені понад 1 500 разів, перш ніж NPM позначив їх як шкідливі. Safety, що базується у Ванкувері, відома своїм підходом до безпеки програмного забезпечення, орієнтованим на запобігання. Її системи на основі штучного інтелекту аналізують мільйони оновлень пакетів з відкритим кодом, підтримуючи власну базу даних, яка виявляє вчетверо більше вразливостей, ніж публічні джерела. Інструменти компанії використовуються окремими розробниками, компаніями зі списку Fortune 500 та урядовими агентствами.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Штучно створений Крипто Гаманець Дрейнер обминає інструменти безпеки, швидко очищує залишки
Шкідливі програми, згенеровані штучним інтелектом, замасковані під звичайний пакет, висмоктували гаманці за лічені секунди, експлуатуючи екосистеми з відкритим вихідним кодом і викликаючи термінові занепокоєння в спільнотах блокчейну та розробників.
Всередині крадія крипто-гаманець: як один скрипт перемістив кошти за секунди
Криптоінвестори були поставлені на облік після того, як кібербезпекова компанія Safety 31 липня повідомила, що шкідливий пакет JavaScript, розроблений за допомогою штучного інтелекту (AI), був використаний для крадіжки коштів з криптогаманців. Замаскований під безпечну утиліту під назвою @kodane/patch-manager на реєстрі Node Package Manager (NPM), пакет містив вбудовані скрипти, призначені для витрачання балансу гаманців. Пол МакКарті, керівник досліджень у Safety, пояснив:
Пакет виконав сценарії після установки, розгортаючи перейменовані файли—monitor.js, sweeper.js та utils.js—у прихованих каталогах на системах Linux, Windows та macOS. Фоновий сценарій, connection-pool.js, підтримував активне з'єднання з командно-контрольним (C2) сервером, скануючи інфіковані пристрої на наявність файлів гаманців. Щойно було виявлено, transaction-cache.js ініціював фактичну крадіжку: "Коли файл гаманця криптовалюти знайдено, цей файл фактично виконує 'сміття', що є висмоктуванням коштів з гаманця. Він робить це, виявляючи, що є в гаманці, а потім висмоктуючи більшу частину з нього."
Викрадені активи були передані через заздалегідь заданий Remote Procedure Call (RPC) до конкретної адреси на блокчейні Solana. McCarty додав:
Опубліковано 28 липня та видалено 30 липня, шкідливі програми були завантажені понад 1 500 разів, перш ніж NPM позначив їх як шкідливі. Safety, що базується у Ванкувері, відома своїм підходом до безпеки програмного забезпечення, орієнтованим на запобігання. Її системи на основі штучного інтелекту аналізують мільйони оновлень пакетів з відкритим кодом, підтримуючи власну базу даних, яка виявляє вчетверо більше вразливостей, ніж публічні джерела. Інструменти компанії використовуються окремими розробниками, компаніями зі списку Fortune 500 та урядовими агентствами.