Індустрія кібербезпеки зіткнулася з першим документально підтвердженим випадком використання штучного інтелекту для створення шкідливого програмного забезпечення. Експерти компанії Safety виявили в офіційному npm-репозиторії вредоносний пакет, розроблений за допомогою ШІ-технологій, що знаменує початок нової ери кіберзагроз.
Цей інцидент демонструє кардинальну зміну в ландшафті інформаційної безпеки, де зловмисники отримали доступ до потужних інструментів автоматизованого створення складних атак. Використання ШІ значно знижує поріг входження для розробки витончених кіберзагроз, дозволяючи навіть недосвідченим хакерам створювати ефективні шкідливі програми.
Аналіз шкідливого пакету @kodane/patch-manager
28 липня 2025 року в npm-реєстрі з’явився пакет @kodane/patch-manager, який маскувався під легітимне програмне забезпечення для оптимізації Node.js-додатків. Автор з псевдонімом Kodane позиціонував свій продукт як інструмент для “розширеної перевірки ліцензій та оптимізації реєстру”.
Масштаб потенційного збитку вражає: понад 1500 розробників встигли завантажити зараженого пакета до його виявлення та видалення. Особливо тривожним фактом є те, що зловмисні функції були відкрито перераховані в вихідному коді, де компонент для крадіжки криптовалюти цинічно називався “enhanced stealth wallet drainer”.
Механізм роботи ШІ-створеного стілера
Атака реалізовувалася через postinstall-скрипт, який автоматично активувався одразу після встановлення пакету. Шкідлива програма демонструвала повну кросплатформенну сумісність, успішно функціонуючи в екосистемах Windows, Linux та macOS.
Алгоритм зараження складався з декількох послідовних етапів. Спочатку скрипт зберігав корисне навантаження в приховані системні директорії цільової машини. Наступним кроком було генерування унікального ідентифікатора зараженого пристрою та встановлення з’єднання з командним сервером за адресою sweeper-monitor-production.up.railway[.]app.
Процес викрадення криптовалютних активів
Після успішного проникнення малвар ініціював комплексне сканування файлової системи в пошуках файлів криптовалютних гаманців. При виявленні цільових даних програма автоматично переказувала всі доступні кошти на заздалегідь запрограмований адресу в блокчейні Solana.
Аналіз блокчейн-транзакцій показав, що значна частина операцій, пов’язаних з цим гаманцем, походила зі скомпрометованих гаманців користувачів, які встановили шкідливий пакет. На момент дослідження сервер відображав інформацію про два скомпрометовані пристрої.
Роль штучного інтелекту в кіберзлочинності
Ключовою особливістю цього інциденту стало використання чат-бота Claude від компанії Anthropic для генерації вредоносного коду. Дослідники з високою ступінь впевненості стверджують, що пакет був створений саме за допомогою цієї ШІ-системи.
Це відкриття знаменує новий етап в еволюції кіберзагроз, де зловмисники отримують доступ до потужних інструментів автоматизованого створення складного шкідливого програмного забезпечення. Штучний інтелект кардинально змінює правила гри в сфері інформаційної безпеки, демократизуючи доступ до створення витончених атак.
Стратегії захисту від ШІ-генерованих загроз
Виявлення першого ШІ-створеного вірусу в npm підкреслює критичну важливість перегляду існуючих підходів до кібербезпеки. Розробникам необхідно посилити процедури верифікації встановлюваних пакетів, особливо від невідомих авторів, та активно використовувати інструменти автоматичного сканування залежностей.
Організаціям слід інвестувати в сучасні рішення безпеки, здатні протистояти цьому новому класу загроз. Поява ШІ-генерованих вірусів вимагає від спільноти кібербезпеки адаптації існуючих методів захисту та розробки інноваційних підходів до виявлення автоматично створеного шкідливого коду.
Цей інцидент став поворотним моментом в історії кібербезпеки, продемонструвавши, як швидко еволюціонують загрози в епоху штучного інтелекту. Тільки проактивна позиція та постійне вдосконалення захисних механізмів дозволять ефективно протистояти новому поколінню кіберзагроз.
