AI-drevet PromptMink Malware-kampagne
Cybersikkerhedsforskere har afdækket ondsindet kode gemt i en npm-pakke, efter at en skadelig afhængighed blev introduceret i et projekt via kode, der var medforfattet af Anthropics Claude Opus large language model (LLM). Opdagelsen fremhæver, hvordan trusler i softwareforsyningskæden udvikler sig gennem misbrug af AI-assisterede udviklingsworkflows.
Pakken i centrum af kampagnen, '@validate-sdk/v2', blev præsenteret på npm som et softwareudviklingssæt til hashing, validering, kodning og afkodning samt sikker tilfældig generering. I virkeligheden var den designet til at stjæle følsomme hemmeligheder fra kompromitterede systemer. Efterforskere bemærkede indikatorer, der tydede på, at pakken muligvis var blevet 'vibe-kodet' ved hjælp af generativ AI. Den blev først uploadet til npm i oktober 2025.
Indholdsfortegnelse
PromptMink forbundet med nordkoreansk trusselaktivitet
Forskere har navngivet kampagnen PromptMink og mener, at den er forbundet med den nordkoreanske trusselaktør Famous Chollima, også kendt som Shifty Corsair. Denne gruppe har tidligere været forbundet med den langvarige Contagious Interview-operation og bedrageriske IT-medarbejdersvindelnumre.
Kampagnen demonstrerer et fortsat fokus på open source-økosystemet, især miljøer knyttet til kryptovaluta og Web3-udvikling.
AI-medforfattet Commit introducerede farlig afhængighed
Den ondsindede pakke blev indsat via en commit den 28. februar til et autonomt handelsagentlager. Denne commit blev angiveligt medforfattet af Anthropics Claude Opus-model. Når pakken var inkluderet, gjorde det muligt for angribere at få adgang til kryptovaluta-wallets og stjæle penge.
Afhængighedskæden bevægede sig gennem flere pakker. '@validate-sdk/v2' var angivet i '@solana-launchpad/sdk', som derefter blev brugt af en tredje pakke ved navn openpaw-graveyard. Denne pakke blev beskrevet som en autonom AI-agent, der var i stand til at opbygge en social on-chain-identitet på Solana-blockchainen gennem Tapestry Protocol, handle kryptovaluta gennem Bankr og interagere med andre agenter på Moltbook.
En kildekode-commit fra februar 2026 tilføjede den beskadigede afhængighed, hvilket forårsagede, at ondsindet kode blev udført og lækkede legitimationsoplysninger, der kunne eksponere tegnebogsaktiver.
Lagdelt infektionsstrategi designet til at undgå detektion
Angriberne brugte en faseopdelt pakkestruktur. De oprindelige pakker virkede rene og indeholdt ingen åbenlys skadelig kode. I stedet importerede de sekundære pakker, hvor den reelle skadelige funktionalitet var gemt. Hvis én ondsindet sekundær pakke blev opdaget eller fjernet, blev den hurtigt erstattet.
Nogle pakker på første lag, der blev identificeret i kampagnen, omfattede:
@solana-launchpad/sdk
@meme-sdk/handel
@validate-ethereum-adresse/kerne
@solmasterv3/solana-metadata-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk
Disse pakker hævdede at tilbyde kryptovaluta-relaterede funktioner og inkluderede mange betroede afhængigheder såsom axios og bn.js, hvilket hjalp dem med at fremstå legitime. Skjult blandt disse betroede biblioteker var et mindre antal ondsindede afhængigheder.
Stealth-teknikker brugt af angriberne
Trusselsaktører brugte flere metoder til at reducere mistanke og forbedre vedholdenhed:
- Oprettelse af skadelige versioner af funktioner, der allerede findes i legitime populære biblioteker
- Brug af typosquatting-pakkenavne og -beskrivelser, der minder meget om betroede værktøjer
- Opdeling af malwaren i en harmløs udseende loader og en anden fase nyttelast
- Hurtigt roterende, fjernede eller detekterede sekundære pakker
Den første kendte pakke knyttet til kampagnen, '@hash-validator/v2', blev uploadet i september 2025.
Udvidelse ud over npm og malwareudvikling
Forskerne bemærkede tegn på denne aktivitet måneder senere, hvilket bekræftede brugen af transitive afhængigheder til at køre ondsindet kode på udviklermaskiner og stjæle værdifulde data. Kampagnen blev senere udvidet til Python Package Index gennem en ondsindet pakke ved navn scraper-npm, der blev uploadet i februar 2026 med lignende funktionalitet.
Nyere versioner af operationen etablerede angiveligt vedvarende fjernadgang via SSH og brugte Rust-kompilerede nyttelast til at stjæle hele kildekodeprojekter og intellektuel ejendom fra inficerede systemer.
Fra grundlæggende tyveri til multiplatformtrussel
Tidlige versioner af malwaren var obfuskerede JavaScript-styveri, der rekursivt søgte i fungerende mapper efter .env- og .json-filer, før de forberedte dem til eksfiltrering til et Vercel-hostet domæne, der tidligere var knyttet til Famous Chollima-aktivitet.
Senere versioner integrerede PromptMink som en enkelt eksekverbar Node.js-applikation. Dette øgede dog nyttelaststørrelsen fra cirka 5,1 KB til næsten 85 MB, hvilket gjorde leveringen mindre effektiv. For at overvinde denne begrænsning overgik angriberne angiveligt til NAPI-RS, hvilket tillod prækompilerede Node.js-tilføjelser skrevet i Rust.
Voksende risiko for open source-forsyningskæden
Kampagnens udvikling fra en simpel informationstyveri til en specialiseret multiplatform-malwarefamilie, der er målrettet Windows, Linux og macOS, viser en betydelig stigning i kapacitet. Dens funktioner omfatter nu tyveri af legitimationsoplysninger, SSH-bagdørsimplementering og tyveri af komplette udviklingsprojekter.
Forskerne konkluderede, at Famous Chollima kombinerer AI-genereret kode med lagdelte pakkeleveringsmetoder for at undgå detektion og manipulere automatiserede kodningsassistenter mere effektivt end menneskelige udviklere.
