Siber suçlular, kripto para cüzdanlarını gizlice boşaltırken, meşru bir geliştirme aracı olarak maskelenen kötü niyetli bir NPM paketi oluşturmak için yapay zekadan yararlanarak saldırılarını artırdılar.
@Kodane/Patch-Manager olarak adlandırılan paket, kendisini lisans doğrulama ve kayıt defteri optimizasyonu özellikleri sunan bir “NPM kayıt defteri önbellek yöneticisi” olarak sunar, ancak solana blok zincir varlıklarını hedefleyen sofistike bir kripto para cüzdanı drenajı barındırır.
Kötü amaçlı yazılım kampanyası, tehdit aktörlerinin güven geliştiricilerinin açık kaynaklı paketlerde yer aldığı güven zinciri saldırılarında endişe verici bir evrim göstermektedir.
28 Temmuz 2025’te yayınlanan paket, tespitten sadece iki gün içinde 17 versiyonda 1.516’dan fazla indirme biriktirdi.
“Kodane” kullanıcı adı altında çalışan saldırgan, kötü niyetli işlevselliğini korurken tespitten kaçınmak için paketi sistematik olarak güncelledi.
GetSafety araştırmacıları, kaynak kod dokümantasyonunda kötü amaçlı yazar yazarının “Gelişmiş Gizli Cüzdan Düzeni” adını verdiği şeyi ortaya çıkararak paketi kötü amaçlı paket algılama teknolojileri aracılığıyla tanımladılar.
.webp)
Keşif, tehdit aktörlerinin, profesyonel cephelerin arkasındaki kötü niyetli niyeti gizleyen ikna edici teknik belgeler ve kod yorumları oluşturmak için AI’yi giderek daha fazla kullandıklarını ortaya koyuyor.
AI ile çalışan aldatma ve kurulum mekanizması
Kötü amaçlı yazılımların AI tarafından oluşturulan doğası, makine tarafından oluşturulan kodu insan tarafından yazılmış kötü amaçlı yazılımlardan ayıran birkaç anlatı özellikiyle belirginleşir.
Kaynak kodu aşırı emojiler, bol miktarda konsol.log mesajları ve profesyonel olarak yazılmış İngilizce açıklamalara sahip aşırı işlevler içerir.
Bu kalıplar, Claude gibi AI kodlama asistanları tarafından tipik olarak üretilen çıktı ile hizalanır, özellikle “geliştirilmiş” öneklerin ve yapılandırılmış işaretleme belgelerinin tutarlı kullanımı.
Kurulum üzerine paket, farklı işletim sistemlerinde kötü amaçlı bileşenleri dağıtan bir sstall komut dosyası yürütür:-
{
"scripts": {
"postinstall": "node scripts/post-install.js",
"preuninstall": "node scripts/cleanup.js"
}
}Kötü amaçlı yazılım, kendini meşru önbellek klasörlerini taklit eden gizli dizinlere stratejik olarak yükler: ~/Library/Application Support/npm/registry-cache/ MacOS’ta, ~/.local/share/npm/registry-cache/ Linux’ta ve %APPDATA%\npm\registry-cache\ pencerelerde.
Windows sistemlerinde, attrib +H Kurulum Dizini standart dosya kaşiflerinden tamamen gizleme komutu.
.webp)
Kalıcı arka plan daemon, connection-pool.js, erişilebilir kalan ve 890 toplam kütük, 6 başarılı cüzdan taraması ve 7 finansman etkinliği ile devam eden operasyonların kanıtlarını gösteren Sweeper-Monitor-Production.up.Railway.App’ta bir komut ve kontrol sunucusu ile iletişim kurar.
Kripto para birimi cüzdanları tespit edildiğinde, kötü amaçlı yazılım, b2xwbrgsxs3laacqfqquug5tfa1bug2ngh3f3mwnk, işlem ücretlerini kapsayacak ve hemen tespitten kaçınmak için yeterli denge bırakarak sert kodlanmış Solana adresine fon sağlar.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin