Специалисты компании Safety обнаружили в npm вредоносный пакет, сгенерированный с помощью ИИ и скрывавший в себе малварь для кражи данных криптокошельков.

Пакет под названием @kodane/patch-manager якобы предлагал «расширенные средства проверки лицензий и оптимизации реестра для высокопроизводительных Node.js-приложений». 28 июля 2025 года его загрузил в npm пользователь под ником Kodane. В настоящее время пакет уже удален из реестра, однако до удаления его скачали более 1500 раз.

Исследователи отмечают, что вредоносные функции пакета были перечислены прямо в его исходном коде: там компонент для кражи криптовалюты был назван «продвинутым скрытным дрейнером для кошельков» (enhanced stealth wallet drainer).

Атака происходила через postinstall-скрипт, который срабатывал после установки пакета. Скрипт сохранял полезную нагрузку в скрытые директории на Windows, Linux и macOS, а затем генерировал ID зараженной машины и подключался к управляющему серверу по адресу sweeper-monitor-production.up.railway[.]app. На момент проведения анализа этот сервер отображал всего два зараженных устройства/

После заражения малварь сканирует систему в поисках файлов криптокошельков и, если находит их, выводит все средства на жестко закодированный в коде адрес в блокчейне Solana. Предполагается, что большая часть транзакций, связанных с этим кошельком, получена из скомпрометированных кошельков пользователей, установивших вредоносный пакет.

Хотя вредоносное ПО для кражи криптовалюты ранее уже не раз обнаруживали в опенсорсных репозиториях, @kodane/patch-manager отличается тем, что, по мнению исследователей, он был сгенерирован с помощью чат-бота Claude компании Anthropic. Исследователи перечисляют, что об этом свидетельствуют:

  • использование эмодзи;
  • многочисленные сообщения логов в консоли, характерные для JavaScript;
  • хорошо написанные описательные комментарии в коде;
  • файл README.md, написанный в характерном для Claude стиле;
  • склонность называть изменения в коде словом «Enhanced».

По словам экспертов, этот инцидент демонстрирует, что злоумышленники используют ИИ для создания все более изощренной и опасной малвари.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии