Кампания срещу зловреден софтуер PromptMink, водена от изкуствен интелект
Изследователи по киберсигурност откриха зловреден код, скрит в npm пакет, след като вредна зависимост беше въведена в проект чрез код, съавтор на който е Claude Opus, модел на големия език (LLM) на Anthropic. Откритието подчертава как заплахите за веригата за доставки на софтуер се развиват чрез злоупотреба с работни процеси за разработка, подпомагани от изкуствен интелект.
Пакетът, който е в центъра на кампанията, „@validate-sdk/v2“, беше представен в npm като комплект за разработка на софтуер за хеширане, валидиране, кодиране и декодиране, както и сигурно генериране на случайни числа. В действителност той е бил проектиран да краде чувствителни тайни от компрометирани системи. Разследващите са отбелязали индикатори, предполагащи, че пакетът може да е бил „вибрационно кодиран“ с помощта на генеративен изкуствен интелект. Той е качен за първи път в npm през октомври 2025 г.
Съдържание
PromptMink е свързан със севернокорейска заплашителна дейност
Изследователите са нарекли кампанията PromptMink и смятат, че тя е свързана със севернокорейския хакер Famous Chollima, известен още като Shifty Corsair. Тази група е била свързвана преди това с дългогодишната операция Contagious Interview и измамни измами с ИТ работници.
Кампанията демонстрира продължаващ фокус върху екосистемата с отворен код, особено върху среди, свързани с криптовалути и Web3 разработка.
Съавторство на AI Commit въведе опасна зависимост
Зловредният пакет е бил вмъкнат чрез commit от 28 февруари в хранилище на автономни търговски агенти. Съобщава се, че този commit е бил съавтор на модела Claude Opus от Anthropic. След като бъде включен, пакетът е позволил на атакуващите да получат достъп до портфейли с криптовалута и да крадат средства.
Веригата на зависимостите премина през множество пакети. „@validate-sdk/v2“ беше посочен в „@solana-launchpad/sdk“, който след това беше използван от трети пакет, наречен openpaw-graveyard. Този пакет беше описан като автономен AI агент, способен да изгради социална идентичност във веригата на блокчейна Solana чрез Tapestry Protocol, да търгува с криптовалута чрез Bankr и да взаимодейства с други агенти в Moltbook.
През февруари 2026 г. е добавена вредната зависимост, което води до изпълнение на злонамерен код и изтичане на идентификационни данни, които биха могли да разкрият активите на портфейла.
Стратегия за многослойна инфекция, предназначена да избегне откриване
Атакуващите са използвали поетапна структура на пакетите. Първоначалните пакети са изглеждали чисти и не са съдържали очевиден зловреден код. Вместо това, те са импортирали вторични пакети, където е била съхранявана истинската вредна функционалност. Ако е бил открит или премахнат един зловреден вторичен пакет, той е бил бързо заменен.
Някои от пакетите от първо ниво, идентифицирани в кампанията, включват:
@solana-launchpad/sdk
@meme-sdk/trade
@validate-ethereum-address/core
@solmasterv3/solana-metadata-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk
Тези пакети твърдяха, че предоставят функции, свързани с криптовалути, и включваха много надеждни зависимости, като например axios и bn.js, което им помагаше да изглеждат легитимни. Сред тези надеждни библиотеки бяха скрити по-малки количества злонамерени зависимости.
Стелт техники, използвани от нападателите
Злоумишлениците използваха няколко метода, за да намалят подозрението и да подобрят устойчивостта:
- Създаване на злонамерени версии на функции, които вече се намират в легитимни популярни библиотеки
- Използване на неправилни имена и описания на пакети, които много наподобяват надеждни инструменти
- Разделяне на зловредния софтуер на безобиден изглеждащ зареждащ софтуер и полезен товар от втори етап
- Бързо въртящи се, премахнати или открити вторични пакети
Първият известен пакет, свързан с кампанията, „@hash-validator/v2“, беше качен през септември 2025 г.
Разширяване отвъд npm и еволюцията на зловреден софтуер
Изследователите забелязали признаци на тази дейност месеци по-късно, потвърждавайки използването на транзитивни зависимости за изпълнение на зловреден код на машини на разработчици и кражба на ценни данни. По-късно кампанията се разширила до индекса на пакетите Python чрез зловреден пакет, наречен scraper-npm, качен през февруари 2026 г. с подобна функционалност.
Съобщава се, че по-нови версии на операцията са установили постоянен отдалечен достъп чрез SSH и са използвали компилиран от Rust полезен товар, за да откраднат цели проекти с изходен код и интелектуална собственост от заразените системи.
От обикновен крадец на вируси до мултиплатформена заплаха
Ранните версии на зловредния софтуер бяха обфускирани JavaScript крадци, които рекурсивно претърсваха работни директории за .env и .json файлове, преди да ги подготвят за изтичане към Vercel-хостван домейн, преди това свързан с активността на Famous Chollima.
По-късни версии вградиха PromptMink като едно изпълнимо приложение на Node.js. Това обаче увеличи размера на полезния товар от приблизително 5,1KB до близо 85MB, което направи доставката по-неефективна. За да преодолеят това ограничение, нападателите, според съобщенията, преминаха към NAPI-RS, позволявайки предварително компилирани Node.js добавки, написани на Rust.
Нарастващ риск за веригата за доставки на отворен код
Развитието на кампанията от обикновен крадец на информация до специализирано семейство злонамерен софтуер за множество платформи, насочено към Windows, Linux и macOS, показва значително увеличение на възможностите. Функциите ѝ вече включват кражба на идентификационни данни, внедряване на SSH задни врати и кражба на цели проекти за разработка.
Изследователите стигнаха до заключението, че Famous Chollima комбинира генериран от изкуствен интелект код с многопластови методи за доставка на пакети, за да избегне откриването и да манипулира автоматизираните асистенти за кодиране по-ефективно от човешките разработчици.
