Siber güvenlik araştırmacıları, yapay zeka (AI) kullanılarak üretilen ve bir kripto para cüzdanı drenajını gizleyen kötü niyetli bir NPM paketini işaretlediler.
Paket, @Kodane/Patch-Manager, “yüksek performanslı node.js uygulamaları için gelişmiş lisans doğrulaması ve kayıt defteri optimizasyonu yardımcı programları” sunduğunu iddia ediyor. 28 Temmuz 2025’te “Kodane” adlı bir kullanıcı tarafından NPM’ye yüklendi. Paket artık kayıt defterinden indirilebilir, ancak 1.500’den fazla indirme çekmeden önce değil.
Kütüphaneyi keşfeden yazılım tedarik zinciri güvenlik şirketi güvenliği, kötü niyetli özelliklerin doğrudan kaynak kodunda ilan edildiğini ve ona “gelişmiş gizli cüzdan süzücüsü” olarak adlandırıldığını söyledi.
Özellikle, davranış, Windows, Linux ve macOS sistemlerinde gizli dizinler içindeki yükünü bırakan ve daha sonra “Sweeper-Monitor-Production.up.Railway’de” Sweeper-Monitor-Production.up.Railway’de bir komut ve kontrol (C2) sunucusuna bağlanmaya devam eden bir sstall komut dosyasının bir parçası olarak tetiklenir.[.]uygulama.”
Güvenlik Araştırma Başkanı Paul McCarty, “Komut dosyası, tehlikeye atılan ana bilgisayar için benzersiz bir makine kimliği kodu oluşturuyor ve C2 sunucusu ile paylaşıyor.” Dedi.
NPM ekosisteminde, sotun sonrası komut dosyaları genellikle göz ardı edilir saldırı vektörleridir – bir paket yüklendikten sonra otomatik olarak çalışırlar, yani kullanıcılar paketi manuel olarak yürütmeden tehlikeye girebilir. Bu, özellikle bağımlılıkların doğrudan insan incelemesi olmadan rutin olarak güncellendiği CI/CD ortamlarında tehlikeli bir kör nokta oluşturur.
Kötü amaçlı yazılım, bir cüzdan dosyasının varlığı için sistemi taramak üzere tasarlanmıştır ve bulunursa, tüm fonları cüzdandan Solana blok zincirindeki sabit kodlu bir cüzdan adresine boşaltmaya devam eder.
Bu, açık kaynaklı depolarda ilk kez kripto para birimi tahliyesi tanımlanmamış olsa da, @Kodane/Patch-Manager’ın öne çıkmasını sağlayan şey, antropikin Claude AI chatbot’un onu oluşturmak için kullanılmasını öneren ipuçlarıdır.
Bu, emojilerin varlığını, kapsamlı JavaScript konsolu günlük mesajları, iyi yazılmış ve açıklayıcı yorumlar, Claude tarafından oluşturulan Markdown dosyalarıyla tutarlı bir stilde yazılmış ReadMe.md markdown dosyasını ve Claude’un kod değişikliklerinin “geliştirilmiş” olarak arama desenini içerir.
McCarty, NPM paketinin keşfi “tehdit aktörlerinin daha ikna edici ve tehlikeli kötü amaçlı yazılımlar yaratmak için yapay zeka yaptıklarını nasıl kullandıklarını” vurguluyor.
Olay ayrıca, AI tarafından oluşturulan paketlerin temiz ve hatta yararlı görünerek geleneksel savunmaları atlayabileceği yazılım tedarik zinciri güvenliğindeki artan endişelerin altını çiziyor. Bu, şimdi sadece bilinen kötü amaçlı yazılımları değil, aynı zamanda NPM gibi güvenilir ekosistemleri kullanan giderek daha fazla parlatılmış AI destekli tehditleri izlemesi gereken paket bakımcılar ve güvenlik ekipleri için riskleri artırıyor.