Kryptomenový svet čelí novej hrozbe po tom, čo kyberneticko-bezpečnostná firma Safety 31. júla odhalila škodlivý JavaScriptový balíček vytvorený pomocou umelej inteligencie (AI). Tento balíček, maskovaný ako neškodný utilitárny nástroj s názvom @kodane/patch-manager v registri Node Package Manager (NPM), slúžil na krádež finančných prostriedkov z kryptomenových peňaženiek. Paul McCarty, riaditeľ výskumu v Safety, uviedol: Safetyho technológia […]
Menej ako 1 min. min.
Kryptomenový svet čelí novej hrozbe po tom, čo kyberneticko-bezpečnostná firma Safety 31. júla odhalila škodlivý JavaScriptový balíček vytvorený pomocou umelej inteligencie (AI). Tento balíček, maskovaný ako neškodný utilitárny nástroj s názvom @kodane/patch-manager v registri Node Package Manager (NPM), slúžil na krádež finančných prostriedkov z kryptomenových peňaženiek. Paul McCarty, riaditeľ výskumu v Safety, uviedol:
Safetyho technológia detekcie škodlivých balíčkov objavila AI-generovaný škodlivý balíček NPM, ktorý funguje ako sofistikovaný odvodňovač kryptomenových peňaženiek, zdôrazňujúc, ako hrozby využívajú AI na tvorbu presvedčivejšieho a nebezpečnejšieho malwaru.
Ako malware fungoval
Po inštalácii balíček spúšťal skripty, ktoré nasadzovali premenované súbory – monitor.js, sweeper.js a utils.js – do skrytých adresárov na systémoch Linux, Windows a macOS. Skript na pozadí, connection-pool.js, udržiaval spojenie s riadiacim serverom (C2), ktorý prehľadával infikované zariadenia a hľadal súbory kryptomenových peňaženiek. Po ich identifikácii skript transaction-cache.js vykonal „premetenie“, čiže vyprázdnenie prostriedkov z peňaženky. McCarty vysvetlil:
Keď je nájdený súbor kryptomenovej peňaženky, tento súbor skutočne vykonáva ‚premetenie‘, čo je vyprázdnenie prostriedkov z peňaženky. Robí to identifikáciou toho, čo je v peňaženke, a následným vyprázdnením väčšiny z toho.
Ukradnuté aktíva boli presmerované cez hardcoded Remote Procedure Call (RPC) endpoint na špecifickú adresu na blockchaine Solana. Tento proces prebiehal v priebehu sekúnd, čo z neho robí mimoriadne efektívnu hrozbu.
Rozsah a dopad
Balíček bol zverejnený 28. júla a stiahnutý z NPM 30. júla po tom, čo ho označili za škodlivý. Za tento krátky čas bol stiahnutý viac ako 1 500-krát, čím ohrozil developerov aj používateľov ich aplikácií. McCarty zdôraznil:
Odvodňovač je navrhnutý na krádež prostriedkov od nič netušiacich developerov a používateľov ich aplikácií.
Firma Safety, so sídlom vo Vancouveri, je známa svojimi pokročilými technológiami na ochranu softvérového dodávateľského reťazca. Jej AI-riadené systémy analyzujú milióny aktualizácií open-source balíčkov a detekujú štyrikrát viac zraniteľností ako verejné zdroje. Tieto nástroje využívajú developeri, spoločnosti z rebríčka Fortune 500 aj vládne agentúry.
Výzvy a varovania pre komunitu
Tento incident zdôrazňuje rastúce riziká spojené s využívaním AI na tvorbu malwaru. Open-source ekosystémy, ako je NPM, sú obzvlášť zraniteľné, pretože útočníci môžu jednoducho maskovať škodlivý kód ako legitímne balíčky. Blockchainové a developerské komunity teraz čelia výzve posilniť bezpečnostné opatrenia a zvýšiť povedomie o takýchto hrozbách.
Safety odporúča developerom a používateľom kryptomenových peňaženiek, aby:
- Overovali zdroje a integritu balíčkov pred ich inštaláciou.
- Používali pokročilé bezpečnostné nástroje na detekciu podozrivých aktivít.
- Pravidelne kontrolovali svoje peňaženky a systémy na prítomnosť neautorizovaných skriptov.
Tento prípad je varovaním, že s pokrokom AI rastie aj sofistikovanosť kybernetických útokov, čo si vyžaduje neustálu ostražitosť a inovácie v oblasti kybernetickej bezpečnosti.
Príspevok AI-nástroj na krádež kryptomien: Odvodňovač ohrozuje peňaženky je zobrazený ako prvý na Kryptoblog24.
