Một phần mềm độc hại tiền điện tử do AI tạo ra, ngụy trang dưới dạng một gói thông thường, đã rút cạn ví trong vài giây, khai thác các hệ sinh thái mã nguồn mở và gây ra lo ngại cấp bách trong các cộng đồng blockchain và phát triển.
Bên trong công cụ rút tiền ví Crypto: Cách một đoạn mã chuyển tiền chỉ trong vài giây
Các nhà đầu tư tiền điện tử đã được cảnh báo sau khi công ty an ninh mạng Safety tiết lộ vào ngày 31 tháng 7 rằng một gói JavaScript độc hại được thiết kế bằng trí tuệ nhân tạo (AI) đã được sử dụng để đánh cắp tiền từ các ví tiền điện tử. Gói này được ngụy trang như một tiện ích vô hại có tên @kodane/patch-manager trên registry Node Package Manager (NPM), chứa các script nhúng được thiết kế để rút tiền trong ví. Paul McCarty, trưởng bộ phận nghiên cứu tại Safety, giải thích:
Công nghệ phát hiện gói phần mềm độc hại của Safety đã phát hiện ra một gói NPM độc hại được tạo ra bởi AI, hoạt động như một bộ drain ví tiền điện tử tinh vi, cho thấy cách mà các tác nhân đe dọa đang tận dụng AI để tạo ra phần mềm độc hại thuyết phục và nguy hiểm hơn.
Gói đã thực thi các kịch bản sau khi cài đặt, triển khai các tệp được đổi tên—monitor.js, sweeper.js, và utils.js—vào các thư mục ẩn trên hệ thống Linux, Windows và macOS. Một kịch bản nền, connection-pool.js, duy trì một kết nối hoạt động đến máy chủ chỉ huy và kiểm soát (C2), quét các thiết bị bị nhiễm để tìm tệp ví. Khi được phát hiện, transaction-cache.js đã khởi động vụ trộm thực sự: “Khi một tệp ví tiền điện tử được tìm thấy, tệp này thực sự thực hiện việc ‘quét’ tức là rút tiền từ ví. Nó làm điều này bằng cách xác định những gì có trong ví, sau đó rút hầu hết số tiền.”
Tài sản bị đánh cắp đã được chuyển qua một Remote Procedure Call được mã hóa cứng (RPC) đến một địa chỉ cụ thể trên blockchain Solana. McCarty đã thêm:
Bộ rút tiền được thiết kế để đánh cắp tiền từ các nhà phát triển không nghi ngờ và người dùng ứng dụng của họ.
Được phát hành vào ngày 28 tháng 7 và bị gỡ xuống vào ngày 30 tháng 7, phần mềm độc hại này đã được tải xuống hơn 1.500 lần trước khi NPM đánh dấu nó là độc hại. Safety, có trụ sở tại Vancouver, được biết đến với phương pháp phòng ngừa trong an ninh chuỗi cung ứng phần mềm. Các hệ thống dựa trên AI của công ty phân tích hàng triệu bản cập nhật gói mã nguồn mở, duy trì một cơ sở dữ liệu độc quyền phát hiện gấp bốn lần số lỗ hổng so với các nguồn công khai. Các công cụ của công ty được sử dụng bởi các nhà phát triển cá nhân, các công ty Fortune 500 và các cơ quan chính phủ.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Công cụ làm trống Ví tiền tiền điện tử được chế tạo bằng AI vượt qua các công cụ bảo mật, làm rỗng số dư nhanh chóng
Một phần mềm độc hại tiền điện tử do AI tạo ra, ngụy trang dưới dạng một gói thông thường, đã rút cạn ví trong vài giây, khai thác các hệ sinh thái mã nguồn mở và gây ra lo ngại cấp bách trong các cộng đồng blockchain và phát triển.
Bên trong công cụ rút tiền ví Crypto: Cách một đoạn mã chuyển tiền chỉ trong vài giây
Các nhà đầu tư tiền điện tử đã được cảnh báo sau khi công ty an ninh mạng Safety tiết lộ vào ngày 31 tháng 7 rằng một gói JavaScript độc hại được thiết kế bằng trí tuệ nhân tạo (AI) đã được sử dụng để đánh cắp tiền từ các ví tiền điện tử. Gói này được ngụy trang như một tiện ích vô hại có tên @kodane/patch-manager trên registry Node Package Manager (NPM), chứa các script nhúng được thiết kế để rút tiền trong ví. Paul McCarty, trưởng bộ phận nghiên cứu tại Safety, giải thích:
Gói đã thực thi các kịch bản sau khi cài đặt, triển khai các tệp được đổi tên—monitor.js, sweeper.js, và utils.js—vào các thư mục ẩn trên hệ thống Linux, Windows và macOS. Một kịch bản nền, connection-pool.js, duy trì một kết nối hoạt động đến máy chủ chỉ huy và kiểm soát (C2), quét các thiết bị bị nhiễm để tìm tệp ví. Khi được phát hiện, transaction-cache.js đã khởi động vụ trộm thực sự: “Khi một tệp ví tiền điện tử được tìm thấy, tệp này thực sự thực hiện việc ‘quét’ tức là rút tiền từ ví. Nó làm điều này bằng cách xác định những gì có trong ví, sau đó rút hầu hết số tiền.”
Tài sản bị đánh cắp đã được chuyển qua một Remote Procedure Call được mã hóa cứng (RPC) đến một địa chỉ cụ thể trên blockchain Solana. McCarty đã thêm:
Được phát hành vào ngày 28 tháng 7 và bị gỡ xuống vào ngày 30 tháng 7, phần mềm độc hại này đã được tải xuống hơn 1.500 lần trước khi NPM đánh dấu nó là độc hại. Safety, có trụ sở tại Vancouver, được biết đến với phương pháp phòng ngừa trong an ninh chuỗi cung ứng phần mềm. Các hệ thống dựa trên AI của công ty phân tích hàng triệu bản cập nhật gói mã nguồn mở, duy trì một cơ sở dữ liệu độc quyền phát hiện gấp bốn lần số lỗ hổng so với các nguồn công khai. Các công cụ của công ty được sử dụng bởi các nhà phát triển cá nhân, các công ty Fortune 500 và các cơ quan chính phủ.