详细内容或原文请订阅后点击阅览
恶意AI生成的NPM软件包击中Solana用户
AI生成的NPM软件包 @Kodane/Patch-Manager排水溶剂钱包; 2025年7月28日下撤下之前,有1,500多个下载。AI生成的NPM软件包 @Kodane/Patch-Manager被标记为隐藏恶意软件以耗尽Solana钱包。该包装于2025年7月28日上传,在下车前下载了超过1,500次。 “软件包 @kodane/patch-manager,是一个复杂的加密货币钱包[…]
来源:Security Affairs _恶意软件恶意AI生成的NPM软件包击中Solana用户
AI生成的NPM软件包 @Kodane/Patch-Manager排水溶剂钱包;在2025年7月28日下撤下之前的1,500多个下载。
@kodane/patch-manager
AI生成的NPM软件包 @Kodane/Patch-Manager被标记为隐藏恶意软件以排除Solana钱包。该包装于2025年7月28日上传,在下车前下载了超过1,500次。
“ @kodane/patch-manager的软件包,是一个具有多个恶意功能的复杂加密货币钱包排水器。排水器旨在从毫无戒心的开发人员及其应用程序的用户中窃取资金。”阅读网络安全公司安全发布的报告。 “该软件包以“许可证验证和注册表优化”看似合法的功能表示自己是“ NPM注册缓存管理器”。但这一切都是。”
报告恶意NPM软件包使用后安装脚本将文件重命名和隐藏在MacOS,Linux和Windows上的伪装缓存文件夹中。在Windows上,它使用Attrib +H藏匿目录。它通过运行连接到实时C2服务器的背景脚本(Connection-pool.js),共享独特的机器ID并管理多个受感染的主机来实现持久性。
attrib +h
Connection-pool.js
恶意NPM软件包日志盗窃的开放C2服务器无需认证。一旦找到钱包,第二个脚本(Transaction-cache.js)会流失资金,留下足够的费用来支付费用。被盗的Solana被发送到一个硬编码地址,显示出高活动可能与1,500多名受感染用户有关。
Transaction-Cache.js
“很少见到C2基础架构,但是在这种情况下,威胁演员将其向公众开放。”继续报告。
这些线索指向使用AI掩盖专业代码背后的恶意意图。
研究人员还发布了有关这种威胁的妥协(IOC)的指标。
@securityaffairs Facebook mastodon