AI生成的加密货币恶意软件引发警觉
一种伪装成常规软件包的AI生成的加密货币恶意软件在几秒钟内就能清空钱包,利用开源生态系统,引发了区块链和开发者社区的紧急关注。网络安全公司Safety于7月31日披露,这种利用人工智能(AI)设计的恶意JavaScript软件包被用于窃取加密钱包中的资金,令加密投资者警觉。
恶意软件的工作原理
该软件包伪装成一个名为Node Package Manager(NPM)注册表中的无害工具,实际上包含了旨在清空钱包余额的嵌入式脚本。Safety的研究负责人保罗·麦卡蒂(Paul McCarty)解释道,Safety的恶意软件包检测技术发现了一个AI生成的恶意NPM软件包,它作为一种复杂的加密货币钱包盗窃工具,突显了威胁行为者如何利用AI创建更具说服力和危险性的恶意软件。
该软件包在安装后执行脚本,将重命名的文件(monitor.js、sweeper.js和utils.js)部署到Linux、Windows和macOS系统的隐藏目录中。一个名为connection-pool.js的后台脚本与指挥控制(C2)服务器保持活跃连接,扫描感染设备中的钱包文件。
盗窃过程的细节
一旦检测到钱包文件,transaction-cache.js便启动实际的盗窃过程:当找到加密钱包文件时,该文件会执行“清空”操作,即从钱包中提取资金。它通过识别钱包中的内容,然后清空大部分资金。被盗资产通过硬编码的远程过程调用(RPC)端点转移到Solana区块链上的特定地址。
麦卡蒂补充道,该盗窃工具旨在窃取毫无防备的开发者及其应用用户的资金。
恶意软件的传播与检测
该恶意软件于7月28日发布,并在7月30日被移除,在NPM将其标记为恶意软件之前,已被下载超过1500次。总部位于温哥华的Safety以其预防优先的软件供应链安全方法而闻名。其AI驱动的系统分析数百万个开源软件包更新,维护一个专有数据库,能够检测到的漏洞数量是公共来源的四倍。该公司的工具被个人开发者、财富500强公司和政府机构广泛使用。
