Kripto para biriminden çalan kötü amaçlı yazılım açısından zengin bir NPM paketi, emojilerin liberal kullanımı ve diğer açıklayıcı işaretlerle vurgulandığı gibi büyük ölçüde üretilmiş gibi görünüyor.
Güvenlik mağazasının güvenliği, Kodane saldırı kodunu, Node.js için “Lisans Doğrulama ve Optimizasyonu” sunduğu söylenen “NPM Kayıt Defteri Önbellek Yöneticisi” tarafından maskelenen bir NPM modülünde buldu. Uygulamalar. Ancak bizi kazdıklarında, kaynak kodu yazılımın asıl amacının ne olduğunu açıklığa kavuşturdu: Markdown’un belgelerinde geliştirilmiş görünmez portföy draması denir ve aktive edildiğinde, pencerelerde, macOS ve Linux sistemlerinde bulabilen ve parayı Solana blok zincirindeki bir adrese gönderir.
İşlemin ayrıntılarına bakılırsa, aşağıdaki başarılı işlemler listesinden görebileceğiniz gibi, kodun arkasındaki suçlu çok başarılıydı.
Paranın çoğunu bulduğu herhangi bir şifreleme portföyünden kaldıran, ancak ana ganimet kaldırıldığında işlem komisyonlarını kapsayacak şekilde bırakan bir kurnaz kötü amaçlı yazılım parçasıdır. Genel olarak, kodun 19 paketi iki günlük alanda spamped edildi. Kodane Japon çocuk kelimesi olmasına rağmen, UTC kötü amaçlı yazılım yükleme süresi operatörün Rusya veya Orta Asya’da bulunabileceğini göstermektedir.
“Pakette yer alan belgeler profesyonel olarak yazılmıştır ve güvenilir teknik detaylar içerir ve geliştiricileri bilgilendirebilecek tipik kırmızı bayraklardan kaçınır” O yazdı Paul McCarty, Güvenlik Araştırmaları Başkanı.
“Aynı şekilde, kod aracılığıyla yorumlar iyi yazılmış, İngilizce olarak ve işlevleri iyi tanımlamaktadır. Başlangıçta meşru görünebilecek şey, kötü amaçlı yazılmanın muhtemelen IA’yı kodun gerçek amacını maskeleyen ikna edici bir teknik dokümantasyon oluşturmak için kullandığının kanıtıdır.”
Kodun daha ayrıntılı bir rüptürü, IA’nın büyük parçalar yazmak için kullanıldığına dair daha fazla gösterge vermektedir. Kilit bir haraç, emoji kullanımıdır – ciddi bir geliştiricinin gerçekte yapmadığı bir şey.
McCarty, “Bir nedenden dolayı yapay zeka platformları oluşturan kod, emojileri kaynak koduna koymayı seviyor. 14 yaşında olmadıkça bildiğim geliştirici bunu yapmıyor.” Dedi. “Ancak Claude, her kullandığımda bunu yapıyor. Emojilere takıntılı, yemin ederim.”
Claude modelinin parmak izleri gibi görünen başka işaretler de var. Örneğin, kod, motorun bunu yapma biçiminde biçimlendirilmiş ve Claude’un başka bir alışkanlığı olan “geliştirilmiş” kelimesini sık kullanan bir dizi markdown dosyası içerir.
Kodda yer alan birçok yorum da var ve McCarty, iyi yazıldıklarının altını çiziyor – “insanlar tarafından yapılan gerçek yorumlardan tamamen farklı” diye açıkladı. Ayrıca Console.log’da, AI tarafından oluşturulan kod için insan geliştiricilerin minimumda azaltma eğiliminde olduğu başka bir tercih edilen alışkanlık vardır.
Birisi kötü amaçlı yazılımları 28 Temmuz’da yükledi ve güvenlik ekipleri onu yaklaşık iki gün sonra zararlı olarak işaretledi. Tüm sürümler kaldırıldı, ancak McCarty, güvenlik kaç bireysel IP adresi söylemese de, 1.500’den fazla indirmenin meydana geldiğini söyledi. ®