ИИ научился воровать крипту, но не смог удержаться от смайликов в коде
NewsMakerKodane намеренно оставляет мелочь в кошельках жертв, чтобы хватило на оплату комиссии.
Вредоносный пакет в экосистеме NPM, обнаруженный специалистами компании Safety, оказался не просто троянцем для кражи криптовалют, а примером атаки, созданной с широкой помощью искусственного интеллекта. Вредоносный модуль распространялся под видом «NPM Registry Cache Manager» — якобы инструмента для валидации лицензий и оптимизации работы с реестром в Node.js. Однако при анализе кода выяснилось, что под этим именем скрывался «Enhanced Stealth Wallet Drainer» — программа, предназначенная для опустошения криптокошельков на Windows, macOS и Linux.
Как только пользователь активирует заражённый пакет, он начинает искать криптовалютные кошельки, переводит всё найденное на указанный адрес в сети Solana, но оставляет немного средств на счетах — чтобы хватило на оплату комиссии при следующем выводе. Такая стратегия позволяет избежать подозрений и повысить вероятность того, что операция останется незамеченной. Успешность атак подтверждается списком проведённых транзакций, опубликованным исследователями. Всего за два дня в NPM было загружено 19 различных вариантов этого зловреда.
Особое внимание специалисты обратили на стиль исходного кода и сопроводительной документации. Авторы указали, что комментарии в коде и описание проекта выглядят «слишком хорошо, чтобы быть правдой» — они написаны на грамотном английском языке, оформлены структурно и технически убедительно. При этом в документах регулярно используется слово «Enhanced» и встречаются неожиданные для разработчиков элементы — например, эмодзи. Именно это, по словам исследователя Пола МакКарти из Safety, является отличительной чертой генераторов кода на базе ИИ , в частности модели Claude. Он отметил, что такие платформы часто добавляют эмодзи в код без логической необходимости — поведение, несвойственное опытным программистам.
Кроме того, структура markdown-файлов, стилистика комментариев и чрезмерное количество сообщений в console.log — всё это напоминает результаты работы именно Claude, а не живого разработчика. Такие детали наводят на мысль, что большая часть вредоносного кода была сгенерирована автоматически с использованием искусственного интеллекта.
Модуль был загружен 28 июля, а спустя два дня начал массово распознаваться как вредоносный. Несмотря на быструю реакцию со стороны систем безопасности, к этому моменту файл успели скачать более 1500 раз. Точная география заражений неизвестна, выбор названия — «Kodane» — весьма интересен, ведь по-японски это означает «ребёнок», хотя в данном контексте это скорее отвлекающий ход, не имеющий отношения к сути атаки.
Таким образом, исследование показало, что генеративные ИИ уже используются не только для ускорения легальной разработки, но и для сокрытия вредоносной функциональности за фасадом убедительной технической документации и тщательно оформленного кода. Это создаёт новый уровень угрозы: чем выше качество упаковки, тем сложнее отличить вредонос от легитимного инструмента.
Вредоносный пакет в экосистеме NPM, обнаруженный специалистами компании Safety, оказался не просто троянцем для кражи криптовалют, а примером атаки, созданной с широкой помощью искусственного интеллекта. Вредоносный модуль распространялся под видом «NPM Registry Cache Manager» — якобы инструмента для валидации лицензий и оптимизации работы с реестром в Node.js. Однако при анализе кода выяснилось, что под этим именем скрывался «Enhanced Stealth Wallet Drainer» — программа, предназначенная для опустошения криптокошельков на Windows, macOS и Linux.
Как только пользователь активирует заражённый пакет, он начинает искать криптовалютные кошельки, переводит всё найденное на указанный адрес в сети Solana, но оставляет немного средств на счетах — чтобы хватило на оплату комиссии при следующем выводе. Такая стратегия позволяет избежать подозрений и повысить вероятность того, что операция останется незамеченной. Успешность атак подтверждается списком проведённых транзакций, опубликованным исследователями. Всего за два дня в NPM было загружено 19 различных вариантов этого зловреда.
Особое внимание специалисты обратили на стиль исходного кода и сопроводительной документации. Авторы указали, что комментарии в коде и описание проекта выглядят «слишком хорошо, чтобы быть правдой» — они написаны на грамотном английском языке, оформлены структурно и технически убедительно. При этом в документах регулярно используется слово «Enhanced» и встречаются неожиданные для разработчиков элементы — например, эмодзи. Именно это, по словам исследователя Пола МакКарти из Safety, является отличительной чертой генераторов кода на базе ИИ , в частности модели Claude. Он отметил, что такие платформы часто добавляют эмодзи в код без логической необходимости — поведение, несвойственное опытным программистам.
Кроме того, структура markdown-файлов, стилистика комментариев и чрезмерное количество сообщений в console.log — всё это напоминает результаты работы именно Claude, а не живого разработчика. Такие детали наводят на мысль, что большая часть вредоносного кода была сгенерирована автоматически с использованием искусственного интеллекта.
Модуль был загружен 28 июля, а спустя два дня начал массово распознаваться как вредоносный. Несмотря на быструю реакцию со стороны систем безопасности, к этому моменту файл успели скачать более 1500 раз. Точная география заражений неизвестна, выбор названия — «Kodane» — весьма интересен, ведь по-японски это означает «ребёнок», хотя в данном контексте это скорее отвлекающий ход, не имеющий отношения к сути атаки.
Таким образом, исследование показало, что генеративные ИИ уже используются не только для ускорения легальной разработки, но и для сокрытия вредоносной функциональности за фасадом убедительной технической документации и тщательно оформленного кода. Это создаёт новый уровень угрозы: чем выше качество упаковки, тем сложнее отличить вредонос от легитимного инструмента.