AI-Generated Crypto Malware
Isang AI-generated na crypto malware na nakatago bilang isang karaniwang package ang nag-drain ng mga wallet sa loob ng ilang segundo, sinasamantala ang mga open-source ecosystem at nagdulot ng agarang pag-aalala sa mga komunidad ng blockchain at mga developer.
Pagpapahayag ng Cybersecurity Firm
Ang mga crypto investor ay nailagay sa alerto matapos ipahayag ng cybersecurity firm na Safety noong Hulyo 31 na isang mapanlinlang na JavaScript package na dinisenyo gamit ang artificial intelligence (AI) ang ginamit upang magnakaw ng pondo mula sa mga crypto wallet.
Detalye ng Mapanlinlang na Package
Nakapagtago bilang isang benign utility na tinatawag sa Node Package Manager (NPM) registry, ang package ay naglalaman ng mga nakatagong script na dinisenyo upang i-drain ang mga balanse ng wallet. Ipinaliwanag ni Paul McCarty, pinuno ng pananaliksik sa Safety:
“Ang teknolohiya ng pagtuklas ng mapanlinlang na package ng Safety ay natuklasan ang isang AI-generated na mapanlinlang na NPM package na gumagana bilang isang sopistikadong cryptocurrency wallet drainer, na nagha-highlight kung paano ginagamit ng mga banta ang AI upang lumikha ng mas kapani-paniwala at mapanganib na malware.”
Mga Teknikal na Aspeto
Ang package ay nagpatupad ng mga script pagkatapos ng pag-install, nag-deploy ng mga pinalitan na file—monitor.js, sweeper.js, at utils.js—sa mga nakatagong direktoryo sa mga sistema ng Linux, Windows, at macOS. Isang background script, connection-pool.js, ang nagpapanatili ng aktibong koneksyon sa isang command-and-control (C2) server, na nag-scan ng mga nahawaang device para sa mga wallet file.
Kapag natagpuan, ang transaction-cache.js ang nagpasimula ng aktwal na pagnanakaw:
“Kapag ang isang crypto wallet file ay natagpuan, ang file na ito ay talagang gumagawa ng ‘sweeping’ na siyang pag-drain ng pondo mula sa wallet. Ginagawa nito ito sa pamamagitan ng pagtukoy kung ano ang nasa wallet, pagkatapos ay dinadagdagan ang karamihan nito.”
Paglilipat ng Ninakaw na Asset
Ang mga ninakaw na asset ay itinaguyod sa pamamagitan ng isang hardcoded Remote Procedure Call (RPC) endpoint patungo sa isang tiyak na address sa Solana blockchain. Idinagdag ni McCarty:
“Ang drainer ay dinisenyo upang magnakaw ng pondo mula sa mga di-nakakaalam na developer at mga gumagamit ng kanilang mga aplikasyon.”
Pag-download at Pagtuklas
Na-publish noong Hulyo 28 at tinanggal noong Hulyo 30, ang malware ay na-download ng higit sa 1,500 beses bago ito i-flag ng NPM bilang mapanlinlang.
Role ng Safety
Ang Safety, na nakabase sa Vancouver, ay kilala sa kanyang prevention-first na diskarte sa seguridad ng software supply chain. Ang mga sistema nitong pinapagana ng AI ay nagsusuri ng milyon-milyong open-source package updates, pinapanatili ang isang proprietary database na tumutukoy ng apat na beses na mas maraming kahinaan kaysa sa mga pampublikong mapagkukunan. Ang mga tool ng firm ay ginagamit ng mga indibidwal na developer, Fortune 500 na kumpanya, at mga ahensya ng gobyerno.
