Эксперты компании Safety зафиксировали беспрецедентный инцидент кибербезопасности: в официальном npm-репозитории был обнаружен вредоносный пакет, созданный с использованием искусственного интеллекта. Данный случай демонстрирует новый уровень угроз, когда злоумышленники активно применяют ИИ-технологии для разработки более изощренных кибератак.
Характеристики вредоносного пакета @kodane/patch-manager
Пакет под названием @kodane/patch-manager маскировался под легитимное программное обеспечение, якобы предоставляющее «расширенные средства проверки лицензий и оптимизации реестра для высокопроизводительных Node.js-приложений». 28 июля 2025 года его опубликовал пользователь с псевдонимом Kodane в официальном npm-реестре.
До момента обнаружения и удаления вредоносный код успели загрузить более 1500 разработчиков, что свидетельствует о значительном масштабе потенциального ущерба. Особую тревогу вызывает тот факт, что злонамеренные функции были открыто перечислены в исходном коде пакета, где компонент для хищения криптовалюты откровенно назывался «enhanced stealth wallet drainer».
Механизм работы криптовалютного стилера
Атака реализовывалась через postinstall-скрипт, автоматически активирующийся сразу после установки пакета в систему разработчика. Вредоносная программа демонстрировала кроссплатформенную совместимость, успешно функционируя на Windows, Linux и macOS.
Алгоритм заражения включал несколько этапов:
Первоначально скрипт сохранял полезную нагрузку в скрытые системные директории целевой машины. Затем генерировался уникальный идентификатор зараженного устройства, после чего устанавливалось соединение с управляющим сервером по адресу sweeper-monitor-production.up.railway[.]app. По данным исследователей, на момент анализа сервер отображал информацию о двух скомпрометированных устройствах.
Процесс кражи криптовалютных активов
После успешного заражения малварь инициировала комплексное сканирование файловой системы в поисках файлов криптовалютных кошельков. При обнаружении целевых данных программа автоматически переводила все доступные средства на заранее запрограммированный адрес в блокчейне Solana.
Анализ транзакций показал, что значительная часть операций, связанных с данным кошельком, происходила из скомпрометированных кошельков пользователей, установивших вредоносный пакет.
Роль искусственного интеллекта в создании угрозы
Ключевой особенностью данного инцидента стало использование ИИ-технологий для генерации вредоносного кода. Исследователи с высокой степенью уверенности утверждают, что пакет был создан с помощью чат-бота Claude от компании Anthropic.
Это открытие знаменует новую эру в развитии киберугроз, где злоумышленники получают доступ к мощным инструментам для автоматизированного создания сложного вредоносного программного обеспечения. Искусственный интеллект значительно снижает барьер входа для создания изощренных атак, позволяя даже менее опытным хакерам разрабатывать эффективные угрозы.
Рекомендации по защите от ИИ-генерированных угроз
Данный инцидент подчеркивает критическую важность усиления мер безопасности при работе с открытыми репозиториями. Разработчикам следует тщательно проверять все устанавливаемые пакеты, особенно от неизвестных авторов, и использовать инструменты автоматического сканирования зависимостей.
Появление ИИ-генерированных угроз требует от сообщества кибербезопасности адаптации существующих методов защиты и разработки новых подходов к обнаружению автоматически созданного вредоносного кода. Организациям необходимо инвестировать в современные решения безопасности, способные противостоять этому новому классу угроз.
