มัลแวร์คริปโตที่สร้างโดย AI
มัลแวร์คริปโตที่สร้างโดย AI ซึ่งปลอมตัวเป็นแพ็คเกจปกติ ได้ทำการระบายกระเป๋าเงินในไม่กี่วินาที โดยใช้ประโยชน์จากระบบนิเวศแบบโอเพนซอร์ส และสร้างความกังวลเร่งด่วนในชุมชนบล็อกเชนและนักพัฒนา นักลงทุนคริปโตได้รับการเตือนหลังจากที่บริษัทความปลอดภัยไซเบอร์ Safety เปิดเผยเมื่อวันที่ 31 กรกฎาคมว่า แพ็คเกจ JavaScript ที่เป็นอันตรายซึ่งออกแบบด้วยปัญญาประดิษฐ์ (AI) ถูกใช้เพื่อขโมยเงินจากกระเป๋าเงินคริปโต
การทำงานของมัลแวร์
แพ็คเกจนี้ปลอมตัวเป็นยูทิลิตี้ที่ไม่เป็นอันตรายซึ่งเรียกใช้ในทะเบียน Node Package Manager (NPM) โดยมีสคริปต์ที่ฝังอยู่ซึ่งออกแบบมาเพื่อระบายยอดเงินในกระเป๋าเงิน Paul McCarty หัวหน้าฝ่ายวิจัยที่ Safety อธิบายว่า เทคโนโลยีการตรวจจับแพ็คเกจที่เป็นอันตรายของ Safety ได้ค้นพบแพ็คเกจ NPM ที่เป็นอันตรายซึ่งสร้างโดย AI ที่ทำหน้าที่เป็นเครื่องมือระบายกระเป๋าเงินคริปโตที่ซับซ้อน
“ผู้กระทำผิดกำลังใช้ AI เพื่อสร้างมัลแวร์ที่น่าเชื่อถือและอันตรายมากขึ้น”
แพ็คเกจนี้ได้ดำเนินการสคริปต์หลังการติดตั้ง โดยการนำไฟล์ที่เปลี่ยนชื่อแล้ว—monitor.js, sweeper.js, และ utils.js—ไปยังไดเรกทอรีที่ซ่อนอยู่ในระบบ Linux, Windows, และ macOS
การขโมยเงินจากกระเป๋าเงิน
สคริปต์พื้นหลัง connection-pool.js รักษาการเชื่อมต่อที่ใช้งานอยู่กับเซิร์ฟเวอร์คำสั่งและควบคุม (C2) โดยการสแกนอุปกรณ์ที่ติดเชื้อเพื่อค้นหาไฟล์กระเป๋าเงิน เมื่อพบไฟล์กระเป๋าเงิน transaction-cache.js จะเริ่มการขโมยจริง:
“เมื่อพบไฟล์กระเป๋าเงินคริปโต ไฟล์นี้จะทำการ ‘ทำความสะอาด’ ซึ่งก็คือการระบายเงินจากกระเป๋าเงิน มันทำเช่นนี้โดยการระบุสิ่งที่อยู่ในกระเป๋าเงิน จากนั้นก็ระบายส่วนใหญ่ของมัน”
สินทรัพย์ที่ถูกขโมยจะถูกส่งผ่านจุดสิ้นสุด Remote Procedure Call (RPC) ที่ตั้งค่าไว้ล่วงหน้าไปยังที่อยู่เฉพาะบนบล็อกเชน Solana
การแพร่กระจายและการตอบสนอง
McCarty กล่าวเพิ่มเติมว่า เครื่องมือระบายนี้ถูกออกแบบมาเพื่อขโมยเงินจากนักพัฒนาที่ไม่สงสัยและผู้ใช้แอปพลิเคชันของพวกเขา มัลแวร์นี้เผยแพร่เมื่อวันที่ 28 กรกฎาคม และถูกลบออกในวันที่ 30 กรกฎาคม โดยถูกดาวน์โหลดมากกว่า 1,500 ครั้งก่อนที่ NPM จะทำการแจ้งเตือนว่าเป็นอันตราย
Safety ซึ่งตั้งอยู่ในแวนคูเวอร์ เป็นที่รู้จักในด้านแนวทางการป้องกันเป็นอันดับแรกในด้านความปลอดภัยของซอฟต์แวร์ซัพพลายเชน ระบบที่ขับเคลื่อนด้วย AI ของบริษัทวิเคราะห์การอัปเดตแพ็คเกจโอเพนซอร์สหลายล้านรายการ โดยรักษาฐานข้อมูลเฉพาะที่ตรวจจับช่องโหว่ได้มากกว่าผลลัพธ์จากแหล่งข้อมูลสาธารณะถึงสี่เท่า เครื่องมือของบริษัทถูกใช้โดยนักพัฒนารายบุคคล บริษัท Fortune 500 และหน่วยงานรัฐบาล
