Kryptovaluuttavahinko-ohjelma
AI:lla luotu kryptovaluuttavahinko-ohjelma, joka naamioitui tavalliseksi paketiksi, tyhjensi lompakoita sekunneissa hyödyntäen avoimen lähdekoodin ekosysteemejä. Tämä on herättänyt kiireellisiä huolia lohkoketju- ja kehittäjäyhteisöissä.
Kyberturvayrityksen ilmoitus
Kryptoinvestoijat saivat hälytyksen sen jälkeen, kun kyberturvayritys Safety paljasti 31. heinäkuuta, että pahantahtoinen JavaScript-paketti, joka oli suunniteltu tekoälyn (AI) avulla, oli käytetty varojen varastamiseen kryptolompakoista.
”Safetyn pahantahtoisten pakettien havaitsemisteknologia on löytänyt AI:lla luodun pahantahtoisen NPM-paketin, joka toimii monimutkaisena kryptovaluuttalompakon tyhjentäjänä. Tämä korostaa, kuinka uhkaavat toimijat hyödyntävät AI:ta luodakseen vakuuttavampaa ja vaarallisempaa haittaohjelmaa.” – Paul McCarty, Safetyn tutkimusjohtaja
Paketin toiminta
Naamioituna harmittomaksi työkaluksi Node Package Manager (NPM) -rekisterissä, paketti sisälsi upotettuja skriptejä, jotka oli suunniteltu tyhjentämään lompakon saldot. Paketti suoritti skriptejä asennuksen jälkeen, käyttäen uudelleennimettyjä tiedostoja—monitor.js, sweeper.js ja utils.js—piilotetuissa hakemistoissa Linux-, Windows- ja macOS-järjestelmissä.
Taustaskripti connection-pool.js ylläpiti aktiivista yhteyttä komentopalvelimeen (C2) ja skannasi tartunnan saaneita laitteita lompakontiedostojen varalta. Kun tiedosto havaittiin, transaction-cache.js aloitti varsinaisen varkauden:
”Kun kryptolompakontiedosto löytyy, tämä tiedosto tekee itse ’tyhjennyksen’, joka tarkoittaa varojen tyhjentämistä lompakosta. Se tekee tämän tunnistamalla, mitä lompakossa on, ja tyhjentämällä suurimman osan siitä.”
Varastetut varat ohjattiin kovakoodatun Remote Procedure Call (RPC) -pisteen kautta tiettyyn osoitteeseen Solana-lohkoketjussa.
Haittaohjelman leviäminen
McCarty lisäsi: ”Tyhjentäjä on suunniteltu varastamaan varoja tietämättömiltä kehittäjiltä ja heidän sovellustensa käyttäjiltä.” Julkaistu 28. heinäkuuta ja poistettu 30. heinäkuuta, haittaohjelmaa ladattiin yli 1 500 kertaa ennen kuin NPM merkkasi sen pahantahtoiseksi.
Safety-yrityksen rooli
Vancouverissa sijaitseva Safety tunnetaan ennaltaehkäisevästä lähestymistavastaan ohjelmistotoimitusketjun turvallisuuteen. Sen AI-pohjaiset järjestelmät analysoivat miljoonia avoimen lähdekoodin pakettipäivityksiä ja ylläpitävät omaa tietokantaa, joka havaitsee neljä kertaa enemmän haavoittuvuuksia kuin julkiset lähteet. Yrityksen työkaluja käyttävät yksittäiset kehittäjät, Fortune 500 -yhtiöt ja valtion virastot.
