暗号ウォレットドレイナーの内部:1つのスクリプトがどのようにして瞬時に資金を移動させたか
暗号投資家は、サイバーセキュリティ企業Safetyが7月31日に明らかにした後、警戒を呼びかけられました。人工知能(AI)で設計された悪意あるJavaScriptパッケージが暗号ウォレットから資金を盗むために使用されました。Node Package Manager(NPM)レジストリ上で@kodane/patch-managerという無害なユーティリティに偽装されたこのパッケージは、ウォレットの残高を空にするために設計された組み込みスクリプトを含んでいました。Safetyの研究責任者Paul McCartyは次のように説明しました:
Safetyの悪意あるパッケージ検出技術が、AI生成の悪意あるNPMパッケージを発見しました。これは、洗練された暗号通貨ウォレットドレイナーとして機能し、脅威のアクターたちがより説得力と危険性のあるマルウェアを作成するためにAIを活用していることを示しています。
このパッケージはインストール後、Linux、Windows、およびmacOSシステム内の隠しディレクトリにリネームされたファイル—monitor.js、sweeper.js、utils.js—を配置するスクリプトを実行しました。背景スクリプトのconnection-pool.jsは、感染したデバイスのウォレットファイルをスキャンし、コマンドアンドコントロール(C2)サーバーへのアクティブな接続を維持しました。検出されると、transaction-cache.jsが実際の窃盗を開始します:「暗号ウォレットファイルが見つかると、このファイルは実際の『スイーピング』を行い、ウォレットから資金を流出させます。ウォレットにあるものを特定し、それからほとんどを流出させます。」
盗まれた資産は、ハードコードされたリモートプロシージャコール(RPC)エンドポイントを通じて、Solanaブロックチェーン上の特定のアドレスにルーティングされました。McCartyは次のように付け加えました:
このドレイナーは、知らないうちに開発者とそのアプリケーションのユーザーから資金を盗むことを目的としています。
このマルウェアは7月28日に公開され、7月30日には削除されましたが、NPMが悪意あるものとしてフラグを立てるまでに1,500回以上ダウンロードされていました。バンクーバーに拠点を置くSafetyは、ソフトウェアサプライチェーンのセキュリティに対する予防第一のアプローチで知られています。同社のAI駆動システムは、何百万ものオープンソースパッケージの更新を分析し、公開ソースの4倍以上の脆弱性を検出する独自のデータベースを維持しています。この企業のツールは、個々の開発者、フォーチュン500企業、政府機関によって使用されています。
