AIによる暗号マルウェアの脅威
AIによって生成された暗号マルウェアが、通常のパッケージに偽装し、数秒でウォレットの残高を空にする事例が発生しました。このマルウェアはオープンソースエコシステムを悪用し、ブロックチェーンおよび開発者コミュニティに深刻な懸念を引き起こしています。
悪意のあるJavaScriptパッケージの発見
サイバーセキュリティ企業Safetyが7月31日に発表したところによると、人工知能(AI)を用いて設計された悪意のあるJavaScriptパッケージが、暗号ウォレットから資金を盗むために使用されていたことが明らかになりました。これにより、暗号投資家は警戒を強めています。
「Safetyの悪意のあるパッケージ検出技術は、洗練された暗号ウォレットドレイナーとして機能するAI生成の悪意のあるNPMパッケージを発見しました。これは、脅威アクターがAIを利用してより説得力があり危険なマルウェアを作成していることを示しています。」
— Paul McCarty, Safety研究責任者
マルウェアの動作メカニズム
このパッケージはNode Package Manager(NPM)レジストリに無害なユーティリティとして偽装されており、ウォレットの残高を空にするために設計された埋め込まれたスクリプトを含んでいました。インストール後、スクリプトは以下のように動作します:
- monitor.js、sweeper.js、utils.jsという名前の変更されたファイルを隠しディレクトリに展開
- connection-pool.jsがC2サーバーへのアクティブな接続を維持
- 感染したデバイスのウォレットファイルをスキャン
ファイルが検出されると、transaction-cache.jsが実際の盗難を開始します。「暗号ウォレットファイルが見つかると、このファイルが実際に資金を空にする‘スイーピング’を行います。」
盗まれた資産のルーティング
盗まれた資産は、ハードコーディングされたリモートプロシージャコール(RPC)エンドポイントを介してSolanaブロックチェーン上の特定のアドレスにルーティングされました。McCartyは次のように付け加えました。
「ドレイナーは、無防備な開発者とそのアプリケーションのユーザーから資金を盗むように設計されています。」
マルウェアの影響と対策
このマルウェアは7月28日に公開され、7月30日までに削除されましたが、NPMが悪意のあるものとしてフラグを立てる前に1,500回以上ダウンロードされていました。バンクーバーに本社を置くSafetyは、ソフトウェアサプライチェーンセキュリティに対する予防第一のアプローチで知られています。同社のAI駆動システムは、数百万のオープンソースパッケージの更新を分析し、公開ソースよりも4倍多くの脆弱性を検出する独自のデータベースを維持しています。
同社のツールは、個々の開発者、フォーチュン500企業、政府機関によって使用されています。
