Bilgisayar korsanları AI’yi kripto cüzdanlarını boşaltan kötü niyetli NPM paketi hazırlamak için kullanır


Güvenlik Araştırmacıları, gelişmiş bir kripto para cüzdanı drenajı olarak tasarlanan @Kodane/Patch-Manager olarak adlandırılan AI tarafından oluşturulan kötü amaçlı bir NPM paketini ortaya çıkardılar.

Lisans doğrulaması ve kayıt defteri optimizasyonu için iyi huylu bir “NPM Kayıt Defteri Önbellek Yöneticisi” olarak poz veren bu paket, geliştiricilerin ve kullanıcıların kripto cüzdanlarından gelen fonları sifonlara sofistike mekanizmalar yerleştirir.

NPM kullanıcı adı “Kodane” altında yayınlanan kötü amaçlı yazılımların kaynak kodu, iç belgelerde “Gelişmiş Gizli Cüzdan Düzeni” olarak özetlenir ve ayrıntılı kılık değiştirmelerine rağmen gerçek niyetini ortaya koyar.

Kripto cüzdanları
@codane/patch-manager

Paketin Node.js aracılığıyla yürütülen söndürme komut dosyası, yürütülebilir anahtar dosyaları Monitor.js, Sweeper.js ve Utils.js olarak yeniden adlandırarak enfeksiyon zincirini başlatır.

MacOS’ta ~/kütüphane/uygulama desteği/npm/kayıt defteri-cache/; Linux’ta, ~/.local/share/npm/kayıt defteri-cache/; ve Windows’ta, %AppData %\ npm \ registery cache/, burada gizli öznitelikler için Attrib +H komutunu kullanarak dizini daha da gizler.

Sofistike cüzdan drenanı

Dağıtım yapıldıktan sonra, kötü amaçlı yazılım, https://sweeper-monitor-production.up.railway.app adresindeki bir komut ve kontrol (C2) sunucusu ile iletişim kuran bağlantı-pool.js’den müstakil bir arka plan işlemi yaparak kalıcılık sağlar.

Bu komut dosyası, tehlikeye atılan ana bilgisayar için benzersiz bir makine tanımlayıcısı oluşturur ve kimlik doğrulaması olmadan halka açık olarak erişilebilir kalan, birden fazla enfekte sistemi yöneten C2’ye aktarır.

Araştırmacılar, sunucuda aktif “finansman etkinlikleri” gözlemlediler, günlükler SMFTZXNZ ve BG9JYWXO gibi ana bilgisayarlarda son uzlaşmaları gösteriyor, ancak operatör periyodik olarak kayıtları temizledi.

Cüzdan dosyalarını tespit ettikten sonra, işlem, gerçek drenaj tanımlayıcı varlıkları gerçekleştiren, transfer ücretlerini hesaplayan ve işlem maliyetleri için yeterince ayrılırken fonların çoğunluğunu süpüren işlem cache.js’e teslim eder.

Kripto cüzdanları
uzlaşmış cüzdanlar

Https://mainnet. B2XWBRGSXS3LAACQFQKQUUG5TFA1BUG2NGH3F3MWNK, yaygın sömürüyü düşündüren yüksek işlem hacmi sergiliyor.

Kötü amaçlı yazılım yaratıcısı, potansiyel olarak Rusya, Çin veya Hindistan gibi yayın zaman damgalarına dayanan Hindistan gibi bir UTC+5 saat dilimi bölgesinden 28 Temmuz 2025’ten itibaren 19 versiyon yayınladı.

Paket, NPM’nin 30 Temmuz 2025’te saat 16: 56’da kötü niyetli olarak işaretlemeden önce 1.500’den fazla indirme topladı ve onu kullanılamıyor.

Zaman damgalarının analizi ve “Kodan” (Japonca “çocuk” adı) aktörün kökenine sınırlı bilgiler sunar, ancak kodun cilası AI yardımına işaret eder.

AI tarafından oluşturulan kötü amaçlı yazılım koduna işaret eden ipuçları

Paketin yapısındaki birkaç ayırt edici özellik, muhtemelen Claude gibi araçlardan, AI kökenlerine ihanet ediyor.

Kaynak kodu, profesyonel geliştiriciler için atipik olan aşırı emoji içerir.

Yorumlar aşırı ve berraktır, insan tarafından yazılan koddaki şifreli, takıma özgü notlarla zıt dosyalar arasında tek tip bir model izlemektedir.

ReadMe.md, AI neslinin bir imzası olan çok sayıda satır içi kod snippet’leri ile tutarlı bir işaretleme stili kullanır. Özellikle, kötü amaçlı yazılım, değiştirilmiş çıktılar için ortak bir AI sözleşmesi olan “geliştirilmiş” olarak etiketler.

Bu AI kaldıraç, tehdit aktörlerinin ikna edici, profesyonel sınıf belgeleri ve kod üretmelerini sağlar, gizli kalıcılık ve pessfiltrasyon mantığını gömerken ilk incelemeden kaçınır.

Bu tür taktikler, görünüşte meşru paketlerin geliştirme ortamlarını ve aşağı akış kullanıcılarını tehlikeye atabileceği tedarik zinciri saldırılarında artan AI-amplifiye kötü amaçlı yazılım riskinin altını çizmektedir.

Uzlaşma Göstergeleri (IOCS)

Kategori IOC Ayrıntıları
NPM paketleri @codane/patch-manager
Dosyalar (SHA-256) 7A0A3E64ECB4212CE08315400ED7ED79617843E2BC4326439CA8B81D1960ECBC (Monitor.js)
3AA51674E3D46062B6DE2CFD6C20F8B70FEF2B6A28ADD462A870F686E387F9DE (Sweeper.js)
E8E5ACE2A791D519E69C547E1A8491BF6A5D3060C080FF7E8350B86F2A0AAB30 (Utils.js)
F64A8AC3604C712FC1ACE85C3262DA3DFE693A4B4082F7365F849EEA6908EE8B (Post-install.js)
E -posta adresleri [email protected]
Alanlar/URL’ler https://sweeper-monitor-production.up.railway.app
https://sweeper-monitor.railway.app
http://va.vision-node.com:8899
https://sweeper-monitor-production.up.railway.app

Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!



Source link