Phần mềm độc hại trong lĩnh vực tiền điện tử
Một phần mềm độc hại trong lĩnh vực tiền điện tử được phát triển bởi trí tuệ nhân tạo (AI), ngụy trang dưới dạng một gói thông thường, đã làm cạn kiệt số dư ví chỉ trong vài giây. Phần mềm này khai thác các hệ sinh thái mã nguồn mở và gây ra những lo ngại nghiêm trọng trong cộng đồng blockchain cũng như đối với các nhà phát triển.
Cảnh báo từ công ty an ninh mạng Safety
Các nhà đầu tư tiền điện tử đã được cảnh báo sau khi công ty an ninh mạng Safety công bố vào ngày 31 tháng 7 rằng một gói JavaScript độc hại, được thiết kế bằng AI, đã được sử dụng để đánh cắp tiền từ các ví tiền điện tử. Ngụy trang dưới dạng một tiện ích vô hại trong kho Node Package Manager (NPM), gói này chứa các script nhúng được thiết kế để làm cạn kiệt số dư ví.
Paul McCarty, trưởng bộ phận nghiên cứu tại Safety, cho biết: “Công nghệ phát hiện gói độc hại của Safety đã phát hiện một gói NPM độc hại được tạo ra bởi AI, hoạt động như một công cụ tinh vi để làm cạn kiệt ví tiền điện tử, cho thấy cách mà các tác nhân đe dọa đang tận dụng AI để tạo ra phần mềm độc hại ngày càng thuyết phục và nguy hiểm hơn.”
Cách thức hoạt động của phần mềm độc hại
Gói này thực thi các script ngay sau khi được cài đặt, triển khai các tệp đã được đổi tên—monitor.js, sweeper.js và utils.js—vào các thư mục ẩn trên các hệ thống Linux, Windows và macOS. Một script nền, connection-pool.js, duy trì kết nối liên tục với một máy chủ chỉ huy và kiểm soát (C2), quét các thiết bị bị nhiễm để tìm kiếm các tệp ví.
Khi phát hiện, transaction-cache.js sẽ khởi động quá trình đánh cắp thực sự: “Khi một tệp ví tiền điện tử được tìm thấy, tệp này sẽ thực hiện việc ‘quét’, tức là làm cạn kiệt tiền từ ví. Nó thực hiện điều này bằng cách xác định số dư trong ví, sau đó làm cạn kiệt hầu hết số tiền đó.”
Các tài sản bị đánh cắp được chuyển qua một điểm gọi là thủ tục từ xa (RPC) đã được mã hóa đến một địa chỉ cụ thể trên blockchain Solana. McCarty bổ sung: “Công cụ làm cạn kiệt này được thiết kế để đánh cắp tiền từ các nhà phát triển không nghi ngờ và người dùng ứng dụng của họ.”
Thống kê và phản ứng
Được công bố vào ngày 28 tháng 7 và bị gỡ bỏ vào ngày 30 tháng 7, phần mềm độc hại này đã được tải xuống hơn 1.500 lần trước khi NPM đánh dấu nó là độc hại. Safety, có trụ sở tại Vancouver, nổi tiếng với cách tiếp cận phòng ngừa đầu tiên đối với an ninh chuỗi cung ứng phần mềm. Các hệ thống dựa trên AI của họ phân tích hàng triệu bản cập nhật gói mã nguồn mở, duy trì một cơ sở dữ liệu độc quyền phát hiện gấp bốn lần số lỗ hổng so với các nguồn công khai. Các công cụ của công ty được sử dụng bởi các nhà phát triển cá nhân, các công ty Fortune 500 và các cơ quan chính phủ.
