Un malware crypto généré par IA déguisé en package de routine a vidé des portefeuilles en quelques secondes, exploitant des écosystèmes open-source et suscitant des préoccupations urgentes au sein des communautés blockchain et des développeurs.
À l'intérieur du draineur de portefeuille crypto : Comment un script a déplacé des fonds en quelques secondes
Les investisseurs en cryptomonnaie ont été mis en alerte après que la société de cybersécurité Safety a révélé le 31 juillet qu'un paquet JavaScript malveillant conçu avec l'intelligence artificielle (AI) avait été utilisé pour voler des fonds des portefeuilles de cryptomonnaie. Déguisé en un utilitaire bénin appelé @kodane/patch-manager sur le registre Node Package Manager (NPM), le paquet contenait des scripts intégrés conçus pour siphonner les soldes des portefeuilles. Paul McCarty, responsable de la recherche chez Safety, a expliqué :
La technologie de détection de paquets malveillants de Safety a découvert un paquet NPM malveillant généré par IA qui fonctionne comme un draineur de portefeuille de cryptomonnaie sophistiqué, soulignant comment les acteurs malveillants exploitent l'IA pour créer des malwares plus convaincants et dangereux.
Le package a exécuté des scripts après l'installation, déployant des fichiers renommés—monitor.js, sweeper.js et utils.js—dans des répertoires cachés sur les systèmes Linux, Windows et macOS. Un script en arrière-plan, connection-pool.js, maintenait une connexion active à un serveur de commande et de contrôle (C2), scannant les appareils infectés à la recherche de fichiers de portefeuille. Une fois détecté, transaction-cache.js a initié le vol réel : « Lorsqu'un fichier de portefeuille crypto est trouvé, ce fichier effectue en fait le 'sweeping' qui consiste à vider des fonds du portefeuille. Il le fait en identifiant ce qu'il y a dans le portefeuille, puis en drainant la plupart de celui-ci. »
Les actifs volés ont été acheminés via un appel de procédure à distance codé en dur (RPC) vers une adresse spécifique sur la blockchain Solana. McCarty a ajouté :
Le drainer est conçu pour voler des fonds aux développeurs naïfs et aux utilisateurs de leurs applications.
Publié le 28 juillet et supprimé le 30 juillet, le malware a été téléchargé plus de 1 500 fois avant que NPM ne le signale comme malveillant. Safety, basé à Vancouver, est connu pour son approche axée sur la prévention en matière de sécurité de la chaîne d'approvisionnement logicielle. Ses systèmes alimentés par l'IA analysent des millions de mises à jour de packages open-source, maintenant une base de données propriétaire qui détecte quatre fois plus de vulnérabilités que les sources publiques. Les outils de l'entreprise sont utilisés par des développeurs individuels, des entreprises du Fortune 500 et des agences gouvernementales.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Le draineur de portefeuille crypto conçu par l'IA contourne les outils de sécurité, vide les soldes rapidement
Un malware crypto généré par IA déguisé en package de routine a vidé des portefeuilles en quelques secondes, exploitant des écosystèmes open-source et suscitant des préoccupations urgentes au sein des communautés blockchain et des développeurs.
À l'intérieur du draineur de portefeuille crypto : Comment un script a déplacé des fonds en quelques secondes
Les investisseurs en cryptomonnaie ont été mis en alerte après que la société de cybersécurité Safety a révélé le 31 juillet qu'un paquet JavaScript malveillant conçu avec l'intelligence artificielle (AI) avait été utilisé pour voler des fonds des portefeuilles de cryptomonnaie. Déguisé en un utilitaire bénin appelé @kodane/patch-manager sur le registre Node Package Manager (NPM), le paquet contenait des scripts intégrés conçus pour siphonner les soldes des portefeuilles. Paul McCarty, responsable de la recherche chez Safety, a expliqué :
Le package a exécuté des scripts après l'installation, déployant des fichiers renommés—monitor.js, sweeper.js et utils.js—dans des répertoires cachés sur les systèmes Linux, Windows et macOS. Un script en arrière-plan, connection-pool.js, maintenait une connexion active à un serveur de commande et de contrôle (C2), scannant les appareils infectés à la recherche de fichiers de portefeuille. Une fois détecté, transaction-cache.js a initié le vol réel : « Lorsqu'un fichier de portefeuille crypto est trouvé, ce fichier effectue en fait le 'sweeping' qui consiste à vider des fonds du portefeuille. Il le fait en identifiant ce qu'il y a dans le portefeuille, puis en drainant la plupart de celui-ci. »
Les actifs volés ont été acheminés via un appel de procédure à distance codé en dur (RPC) vers une adresse spécifique sur la blockchain Solana. McCarty a ajouté :
Publié le 28 juillet et supprimé le 30 juillet, le malware a été téléchargé plus de 1 500 fois avant que NPM ne le signale comme malveillant. Safety, basé à Vancouver, est connu pour son approche axée sur la prévention en matière de sécurité de la chaîne d'approvisionnement logicielle. Ses systèmes alimentés par l'IA analysent des millions de mises à jour de packages open-source, maintenant une base de données propriétaire qui détecte quatre fois plus de vulnérabilités que les sources publiques. Les outils de l'entreprise sont utilisés par des développeurs individuels, des entreprises du Fortune 500 et des agences gouvernementales.