- Специальный корреспондент
Kodane намеренно оставляет мелочь в кошельках жертв, чтобы хватило на оплату комиссии.
Вредоносный пакет в экосистеме NPM, специалистами компании Safety, оказался не просто троянцем для кражи криптовалют, а примером атаки, созданной с широкой помощью искусственного интеллекта. Вредоносный модуль распространялся под видом «NPM Registry Cache Manager» — якобы инструмента для валидации лицензий и оптимизации работы с реестром в Node.js. Однако при анализе кода выяснилось, что под этим именем скрывался «Enhanced Stealth Wallet Drainer» — программа, предназначенная для на Windows, macOS и Linux.
Как только пользователь активирует заражённый пакет, он начинает искать криптовалютные кошельки, переводит всё найденное на указанный адрес в сети Solana, но оставляет немного средств на счетах — чтобы хватило на оплату комиссии при следующем выводе. Такая стратегия позволяет избежать подозрений и повысить вероятность того, что операция останется незамеченной. Успешность атак подтверждается списком проведённых транзакций, опубликованным исследователями. Всего за два дня в NPM было загружено 19 различных вариантов этого зловреда.
Особое внимание специалисты обратили на стиль исходного кода и сопроводительной документации. Авторы указали, что комментарии в коде и описание проекта выглядят «слишком хорошо, чтобы быть правдой» — они написаны на грамотном английском языке, оформлены структурно и технически убедительно. При этом в документах регулярно используется слово «Enhanced» и встречаются неожиданные для разработчиков элементы — например, эмодзи. Именно это, по словам исследователя Пола МакКарти из Safety, является отличительной чертой , в частности модели Claude. Он отметил, что такие платформы часто добавляют эмодзи в код без логической необходимости — поведение, несвойственное опытным программистам.
Вредоносный пакет в экосистеме NPM, специалистами компании Safety, оказался не просто троянцем для кражи криптовалют, а примером атаки, созданной с широкой помощью искусственного интеллекта. Вредоносный модуль распространялся под видом «NPM Registry Cache Manager» — якобы инструмента для валидации лицензий и оптимизации работы с реестром в Node.js. Однако при анализе кода выяснилось, что под этим именем скрывался «Enhanced Stealth Wallet Drainer» — программа, предназначенная для на Windows, macOS и Linux.
Как только пользователь активирует заражённый пакет, он начинает искать криптовалютные кошельки, переводит всё найденное на указанный адрес в сети Solana, но оставляет немного средств на счетах — чтобы хватило на оплату комиссии при следующем выводе. Такая стратегия позволяет избежать подозрений и повысить вероятность того, что операция останется незамеченной. Успешность атак подтверждается списком проведённых транзакций, опубликованным исследователями. Всего за два дня в NPM было загружено 19 различных вариантов этого зловреда.
Особое внимание специалисты обратили на стиль исходного кода и сопроводительной документации. Авторы указали, что комментарии в коде и описание проекта выглядят «слишком хорошо, чтобы быть правдой» — они написаны на грамотном английском языке, оформлены структурно и технически убедительно. При этом в документах регулярно используется слово «Enhanced» и встречаются неожиданные для разработчиков элементы — например, эмодзи. Именно это, по словам исследователя Пола МакКарти из Safety, является отличительной чертой , в частности модели Claude. Он отметил, что такие платформы часто добавляют эмодзи в код без логической необходимости — поведение, несвойственное опытным программистам.
