Un malware de criptomonedas generado por IA disfrazado como un paquete rutinario drenó billeteras en segundos, explotando ecosistemas de código abierto y generando preocupaciones urgentes en las comunidades de blockchain y desarrolladores.
Dentro del Drainer de Wallet Crypto: Cómo un Script Movió Fondos en Segundos
Los inversores en criptomonedas fueron puestos en alerta después de que la firma de ciberseguridad Safety revelara el 31 de julio que un paquete de JavaScript malicioso diseñado con inteligencia artificial (AI) había sido utilizado para robar fondos de billeteras criptográficas. Disfrazado como una utilidad benigna llamada @kodane/patch-manager en el registro de Node Package Manager (NPM), el paquete contenía scripts incrustados diseñados para drenar los saldos de las billeteras. Paul McCarty, jefe de investigación en Safety, explicó:
La tecnología de detección de paquetes maliciosos de Safety ha descubierto un paquete malicioso de NPM generado por IA que funciona como un sofisticado drenador de billeteras de criptomonedas, destacando cómo los actores de amenazas están aprovechando la IA para crear malware más convincente y peligroso.
El paquete ejecutó scripts después de la instalación, desplegando archivos renombrados—monitor.js, sweeper.js y utils.js—en directorios ocultos a través de sistemas Linux, Windows y macOS. Un script en segundo plano, connection-pool.js, mantenía una conexión activa con un servidor de comando y control (C2), escaneando dispositivos infectados en busca de archivos de billetera. Una vez detectado, transaction-cache.js inició el robo real: “Cuando se encuentra un archivo de billetera de criptomonedas, este archivo en realidad hace el ‘sweeping’ que es el drenaje de fondos de la billetera. Lo hace identificando qué hay en la billetera, y luego drenando la mayor parte de ella.”
Los activos robados fueron redirigidos a través de un Remote Procedure Call (RPC) codificado de forma fija a una dirección específica en la blockchain de Solana. McCarty añadió:
El drainer está diseñado para robar fondos de desarrolladores desprevenidos y de los usuarios de sus aplicaciones.
Publicado el 28 de julio y eliminado el 30 de julio, el malware fue descargado más de 1,500 veces antes de que NPM lo marcara como malicioso. Safety, con sede en Vancouver, es conocida por su enfoque preventivo en la seguridad de la cadena de suministro de software. Sus sistemas impulsados por IA analizan millones de actualizaciones de paquetes de código abierto, manteniendo una base de datos propietaria que detecta cuatro veces más vulnerabilidades que las fuentes públicas. Las herramientas de la empresa son utilizadas por desarrolladores individuales, empresas Fortune 500 y agencias gubernamentales.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
El drenador de billetera cripto creado por IA elude las herramientas de seguridad y vacía los saldos rápidamente
Un malware de criptomonedas generado por IA disfrazado como un paquete rutinario drenó billeteras en segundos, explotando ecosistemas de código abierto y generando preocupaciones urgentes en las comunidades de blockchain y desarrolladores.
Dentro del Drainer de Wallet Crypto: Cómo un Script Movió Fondos en Segundos
Los inversores en criptomonedas fueron puestos en alerta después de que la firma de ciberseguridad Safety revelara el 31 de julio que un paquete de JavaScript malicioso diseñado con inteligencia artificial (AI) había sido utilizado para robar fondos de billeteras criptográficas. Disfrazado como una utilidad benigna llamada @kodane/patch-manager en el registro de Node Package Manager (NPM), el paquete contenía scripts incrustados diseñados para drenar los saldos de las billeteras. Paul McCarty, jefe de investigación en Safety, explicó:
El paquete ejecutó scripts después de la instalación, desplegando archivos renombrados—monitor.js, sweeper.js y utils.js—en directorios ocultos a través de sistemas Linux, Windows y macOS. Un script en segundo plano, connection-pool.js, mantenía una conexión activa con un servidor de comando y control (C2), escaneando dispositivos infectados en busca de archivos de billetera. Una vez detectado, transaction-cache.js inició el robo real: “Cuando se encuentra un archivo de billetera de criptomonedas, este archivo en realidad hace el ‘sweeping’ que es el drenaje de fondos de la billetera. Lo hace identificando qué hay en la billetera, y luego drenando la mayor parte de ella.”
Los activos robados fueron redirigidos a través de un Remote Procedure Call (RPC) codificado de forma fija a una dirección específica en la blockchain de Solana. McCarty añadió:
Publicado el 28 de julio y eliminado el 30 de julio, el malware fue descargado más de 1,500 veces antes de que NPM lo marcara como malicioso. Safety, con sede en Vancouver, es conocida por su enfoque preventivo en la seguridad de la cadena de suministro de software. Sus sistemas impulsados por IA analizan millones de actualizaciones de paquetes de código abierto, manteniendo una base de datos propietaria que detecta cuatro veces más vulnerabilidades que las fuentes públicas. Las herramientas de la empresa son utilizadas por desarrolladores individuales, empresas Fortune 500 y agencias gubernamentales.