Des chercheurs en sécurité ont identifié un package NPM malveillant sophistiqué généré par l’IA, ciblant les développeurs en tant que drain de portefeuille de cryptomonnaies. Le package, nommé @kodane/patch-manager, se fait passer pour un gestionnaire de cache de registre légitime mais inclut des fonctionnalités avancées pour voler des fonds de cryptomonnaies.
Le malware procède à une infection en plusieurs étapes : installation via un script post-installation, établissement de la persistance à travers des processus en arrière-plan, connexion à un serveur C2 à l’adresse sweeper-monitor-production.up.railway.app, découverte de fichiers de portefeuille, et extraction des fonds vers une adresse Solana spécifique (B2XwbrGSXs3LAAcqFqKqGUug5TFA1Bug2NNGH3F3mWNK).
Le package montre des signatures claires de génération par IA, telles que l’utilisation excessive d’emojis, un journal de console verbeux, des commentaires excessifs et des conventions de nommage améliorées. Avant d’être signalé par NPM, le malware a été téléchargé plus de 1500 fois.
IOCs et TTPs :
- Adresse C2 : sweeper-monitor-production.up.railway.app
- Adresse Solana : B2XwbrGSXs3LAAcqFqKqGUug5TFA1Bug2NNGH3F3mWNK
Cet article est une analyse de menace, visant à informer sur l’utilisation croissante de l’IA par les acteurs malveillants pour créer des codes malveillants plus convaincants et professionnels, compliquant ainsi la détection par les mesures de sécurité traditionnelles.
🧠 TTPs et IOCs détectés
TTPs
T1059.007, T1071.001, T1105, T1055, T1070.004, T1566.002
IOCs
sweeper-monitor-production.up.railway.app, B2XwbrGSXs3LAAcqFqKqGUug5TFA1Bug2NNGH3F3mWNK
🔗 Source originale : https://getsafety.com/blog-posts/threat-actor-uses-ai-to-create-a-better-crypto-wallet-drainer