Campanya de programari maliciós PromptMink impulsada per IA
Investigadors de ciberseguretat han descobert codi maliciós amagat dins d'un paquet npm després que s'introduís una dependència nociva en un projecte mitjançant codi escrit en coautoria per Claude Opus, expert en models de llenguatge gran (LLM) d'Anthropic. La descoberta posa de manifest com les amenaces a la cadena de subministrament de programari estan evolucionant a causa del mal ús dels fluxos de treball de desenvolupament assistit per IA.
El paquet central de la campanya, «@validate-sdk/v2», es va presentar a npm com un kit de desenvolupament de programari utilitari per a la funció hash, la validació, la codificació i descodificació, i la generació aleatòria segura. En realitat, va ser dissenyat per robar secrets sensibles de sistemes compromesos. Els investigadors van observar indicadors que suggerien que el paquet podria haver estat «codificat per vibració» mitjançant IA generativa. Es va penjar per primera vegada a npm l'octubre de 2025.
Taula de continguts
PromptMink vinculat a l’activitat d’amenaces de Corea del Nord
Els investigadors han batejat la campanya com a PromptMink i creuen que està connectada amb l'actor de pirateria nord-coreà Famous Chollima, també conegut com a Shifty Corsair. Aquest grup s'havia associat anteriorment amb l'operació Contagious Interview de llarga durada i les estafes fraudulentes de treballadors informàtics.
La campanya demostra un enfocament continu en l'ecosistema de codi obert, especialment en els entorns vinculats a les criptomonedes i el desenvolupament de la Web3.
La confirmació coautoritzada per IA ha introduït una dependència perillosa
El paquet maliciós es va inserir mitjançant un commit del 28 de febrer a un repositori d'agents comercials autònoms. Segons sembla, aquest commit va ser coescrit pel model Claude Opus d'Anthropic. Un cop inclòs, el paquet permetia als atacants obtenir accés a moneders de criptomonedes i robar fons.
La cadena de dependències es movia a través de múltiples paquets. '@validate-sdk/v2' apareixia dins de '@solana-launchpad/sdk', que després era utilitzat per un tercer paquet anomenat openpaw-graveyard. Aquest paquet es descrivia com un agent d'IA autònom capaç de construir una identitat social en cadena a la cadena de blocs de Solana a través del protocol Tapestry, intercanviar criptomonedes a través de Bankr i interactuar amb altres agents a Moltbook.
Un commit de codi font del febrer de 2026 va afegir la dependència contaminada, provocant que s'executés codi maliciós i es filtrés credencials que podrien exposar els actius del moneder.
Estratègia d’infecció per capes dissenyada per evitar la detecció
Els atacants van utilitzar una estructura de paquets per fases. Els paquets inicials semblaven nets i no contenien cap codi maliciós evident. En comptes d'això, van importar paquets secundaris on s'emmagatzemava la funcionalitat realment nociva. Si es detectava o eliminava un paquet secundari maliciós, es substituïa ràpidament.
Alguns paquets de primera capa identificats a la campanya inclouen:
@solana-launchpad/sdk
@meme-sdk/trade
@validate-ethereum-address/core
@solmasterv3/solana-metadata-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk
Aquests paquets afirmaven proporcionar funcions relacionades amb criptomonedes i incloïen moltes dependències de confiança com ara axios i bn.js, cosa que els ajudava a semblar legítims. Amagades entre aquestes biblioteques de confiança hi havia un nombre menor de dependències malicioses.
Tècniques furtives utilitzades pels atacants
Els actors amenaçadors van utilitzar diversos mètodes per reduir les sospites i millorar la persistència:
- Creació de versions malicioses de funcions que ja es troben en biblioteques populars legítimes
- Ús de noms i descripcions de paquets typosquatting que s'assemblaven molt a eines de confiança
- Dividir el programari maliciós en un carregador d'aspecte inofensiu i una càrrega útil de segona etapa
- Paquets secundaris que giren, es retiren o es detecten ràpidament
El primer paquet conegut vinculat a la campanya, '@hash-validator/v2', es va carregar el setembre del 2025.
Expansió més enllà de npm i l’evolució del programari maliciós
Els investigadors van notar signes d'aquesta activitat mesos després, confirmant l'ús de dependències transitives per executar codi maliciós en màquines de desenvolupadors i robar dades valuoses. La campanya es va expandir posteriorment a l'índex de paquets de Python a través d'un paquet maliciós anomenat scraper-npm, carregat el febrer de 2026 amb una funcionalitat similar.
Segons sembla, versions més recents de l'operació van establir accés remot persistent a través de SSH i van utilitzar càrregues útils compilades per Rust per robar projectes de codi font sencers i propietat intel·lectual de sistemes infectats.
De lladre bàsic a amenaça multiplataforma
Les primeres versions del programari maliciós eren lladres de JavaScript ofuscats que buscaven recursivament fitxers .env i .json als directoris de treball abans de preparar-los per a l'exfiltració a un domini allotjat per Vercel que prèviament estava vinculat a l'activitat de Famous Chollima.
Les versions posteriors van integrar PromptMink com una única aplicació executable de Node.js. Tanmateix, això va augmentar la mida de la càrrega útil d'aproximadament 5,1 KB a gairebé 85 MB, cosa que va fer que el lliurament fos menys eficient. Per superar aquesta limitació, els atacants van fer la transició a NAPI-RS, permetent complements de Node.js precompilats escrits en Rust.
Risc creixent per a la cadena de subministrament de codi obert
La progressió de la campanya, des d'un simple lladre d'informació fins a una família de programari maliciós multiplataforma especialitzat dirigit a Windows, Linux i macOS, mostra una escalada significativa de capacitat. Les seves funcions ara inclouen el robatori de credencials, el desplegament de portes del darrere SSH i el robatori de projectes de desenvolupament complets.
Els investigadors van concloure que Famous Chollima combina codi generat per IA amb mètodes de lliurament de paquets en capes per evadir la detecció i manipular els assistents de codificació automatitzats de manera més eficaç que els desenvolupadors humans.
