AIが作成した暗号資産ウォレットドレイナーがセキュリティツールを回避し、残高を迅速に空にする

AI生成の暗号マルウェアが通常のパッケージに偽装し、オープンソースエコシステムを悪用して数秒でウォレットを drained し、ブロックチェーンおよび開発者コミュニティ全体で緊急の懸念を引き起こしました。

暗号通貨ウォレットドレイナーの内部：1つのスクリプトが数秒で資金を移動させた方法

暗号投資家は、サイバーセキュリティ会社Safetyが7月31日に発表した、(AI)という人工知能で設計された悪意のあるJavaScriptパッケージが暗号ウォレットから資金を盗むために使用されたと警告された。Node Package Managerの(NPM)レジストリで@kodane/patch-managerという無害なユーティリティとして偽装されたこのパッケージには、ウォレット残高を排出するように設計された埋め込まれたスクリプトが含まれていた。Safetyの研究責任者であるポール・マッカーシーは次のように説明した:

Safetyのマルウェアパッケージ検出技術が、洗練された暗号通貨ウォレットドレイナーとして機能するAI生成の悪意あるNPMパッケージを発見しました。これは、脅威アクターがAIを利用して、より信じられ、危険なマルウェアを作成していることを浮き彫りにしています。

パッケージはインストール後にスクリプトを実行し、リネームされたファイル—monitor.js、sweeper.js、utils.js—をLinux、Windows、macOSシステムの隠しディレクトリに展開しました。バックグラウンドスクリプトconnection-pool.jsは、コマンド＆コントロール(C2)サーバーへのアクティブな接続を維持し、感染したデバイスをウォレットファイルのスキャンを行いました。一度検出されると、transaction-cache.jsが実際の盗難を開始しました：「暗号ウォレットファイルが見つかると、このファイルが実際に‘スウィーピング’を行い、ウォレットから資金を排出します。これは、ウォレットの中に何があるかを特定し、そのほとんどを排出することによって行われます。」

盗まれた資産は、ハードコードされたリモートプロシージャコール (RPC) エンドポイントを介して、Solana ブロックチェーン上の特定のアドレスにルーティングされました。マッカーティは次のように付け加えました:

ドレイナーは、無防備な開発者とそのアプリケーションのユーザーから資金を盗むように設計されています。

7月28日に公開され、7月30日までに削除されたそのマルウェアは、NPMが悪意のあるものとしてフラグを立てる前に1,500回以上ダウンロードされました。バンクーバーに拠点を置くSafetyは、ソフトウェアサプライチェーンのセキュリティに対する予防第一のアプローチで知られています。そのAI駆動のシステムは、何百万ものオープンソースパッケージの更新を分析し、公開ソースよりも4倍多くの脆弱性を検出する独自のデータベースを維持しています。この会社のツールは、個々の開発者、フォーチュン500企業、政府機関によって使用されています。