Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Εκστρατεία κακόβουλου λογισμικού PromptMink με γνώμονα...

Εκστρατεία κακόβουλου λογισμικού PromptMink με γνώμονα την τεχνητή νοημοσύνη

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν κακόβουλο κώδικα κρυμμένο μέσα σε ένα πακέτο npm, μετά την εισαγωγή μιας επιβλαβούς εξάρτησης σε ένα έργο μέσω κώδικα που συνυπέγραψε το μεγάλο γλωσσικό μοντέλο (LLM) Claude Opus της Anthropic. Η ανακάλυψη υπογραμμίζει πώς οι απειλές στην αλυσίδα εφοδιασμού λογισμικού εξελίσσονται μέσω της κακής χρήσης ροών εργασίας ανάπτυξης με τη βοήθεια της τεχνητής νοημοσύνης.

Το πακέτο στο επίκεντρο της καμπάνιας, «@validate-sdk/v2», παρουσιάστηκε στο npm ως ένα βοηθητικό κιτ ανάπτυξης λογισμικού για κατακερματισμό (hashing), επικύρωση, κωδικοποίηση και αποκωδικοποίηση, καθώς και ασφαλή τυχαία δημιουργία. Στην πραγματικότητα, σχεδιάστηκε για να κλέβει ευαίσθητα μυστικά από παραβιασμένα συστήματα. Οι ερευνητές σημείωσαν ενδείξεις που υποδηλώνουν ότι το πακέτο μπορεί να έχει «κωδικοποιηθεί μέσω vibe» χρησιμοποιώντας γενετική τεχνητή νοημοσύνη. Ανέβηκε για πρώτη φορά στο npm τον Οκτώβριο του 2025.

Το PromptMink συνδέεται με απειλητική δραστηριότητα από τη Βόρεια Κορέα

Οι ερευνητές ονόμασαν την καμπάνια PromptMink και πιστεύουν ότι συνδέεται με τον βορειοκορεάτη απειλητικό παράγοντα Famous Chollima, γνωστό και ως Shifty Corsair. Αυτή η ομάδα έχει συνδεθεί στο παρελθόν με τη μακροχρόνια επιχείρηση Contagious Interview και τις δόλιες απάτες IT Worker.

Η καμπάνια καταδεικνύει τη συνεχή εστίαση στο οικοσύστημα ανοιχτού κώδικα, ειδικά σε περιβάλλοντα που συνδέονται με την ανάπτυξη κρυπτονομισμάτων και Web3.

Η Συν-Συγγραφέας της Τεχνητής Νοημοσύνης Commit παρουσίασε Επικίνδυνη Εξάρτηση

Το κακόβουλο πακέτο εισήχθη μέσω μιας δέσμευσης (commit) στις 28 Φεβρουαρίου σε ένα αυτόνομο αποθετήριο πρακτόρων συναλλαγών. Αυτή η δέσμευση φέρεται να συνυπογράφηκε από το μοντέλο Claude Opus της Anthropic. Μόλις συμπεριληφθεί, το πακέτο επέτρεψε στους εισβολείς να αποκτήσουν πρόσβαση σε πορτοφόλια κρυπτονομισμάτων και να κλέψουν χρήματα.

Η αλυσίδα εξάρτησης μετακινήθηκε σε πολλά πακέτα. Το '@validate-sdk/v2' καταχωρήθηκε μέσα στο '@solana-launchpad/sdk', το οποίο στη συνέχεια χρησιμοποιήθηκε από ένα τρίτο πακέτο με το όνομα openpaw-graveyard. Αυτό το πακέτο περιγράφηκε ως ένας αυτόνομος παράγοντας τεχνητής νοημοσύνης ικανός να δημιουργήσει μια κοινωνική ταυτότητα στην αλυσίδα blockchain Solana μέσω του πρωτοκόλλου Tapestry, να κάνει συναλλαγές κρυπτονομισμάτων μέσω του Bankr και να αλληλεπιδρά με άλλους παράγοντες στο Moltbook.

Μια υποβολή πηγαίου κώδικα τον Φεβρουάριο του 2026 πρόσθεσε την μολυσμένη εξάρτηση, προκαλώντας την εκτέλεση κακόβουλου κώδικα και τη διαρροή διαπιστευτηρίων που θα μπορούσαν να εκθέσουν περιουσιακά στοιχεία πορτοφολιού.

Στρατηγική πολυεπίπεδης μόλυνσης σχεδιασμένη για την αποφυγή ανίχνευσης

Οι επιτιθέμενοι χρησιμοποίησαν μια σταδιακή δομή πακέτων. Τα αρχικά πακέτα φαίνονταν καθαρά και δεν περιείχαν προφανή κακόβουλο κώδικα. Αντίθετα, εισήγαγαν δευτερεύοντα πακέτα όπου ήταν αποθηκευμένη η πραγματική επιβλαβής λειτουργικότητα. Εάν εντοπιστεί ή αφαιρεθεί ένα κακόβουλο δευτερεύον πακέτο, αντικαταστάθηκε γρήγορα.

Ορισμένα πακέτα πρώτου επιπέδου που εντοπίστηκαν στην καμπάνια περιελάμβαναν:

@solana-launchpad/sdk
@meme-sdk/trade
@validate-ethereum-address/core
@solmasterv3/solana-metadata-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk

Αυτά τα πακέτα ισχυρίζονταν ότι παρείχαν λειτουργίες σχετικές με τα κρυπτονομίσματα και περιλάμβαναν πολλές αξιόπιστες εξαρτήσεις όπως τα axios και bn.js, βοηθώντας τα να φαίνονται νόμιμα. Ανάμεσα σε αυτές τις αξιόπιστες βιβλιοθήκες ήταν κρυμμένοι μικρότεροι αριθμοί κακόβουλων εξαρτήσεων.

Τεχνικές μυστικότητας που χρησιμοποιούνται από τους επιτιθέμενους

Οι απειλητικοί παράγοντες χρησιμοποίησαν διάφορες μεθόδους για να μειώσουν την υποψία και να βελτιώσουν την επιμονή:

  • Δημιουργία κακόβουλων εκδόσεων συναρτήσεων που βρίσκονται ήδη σε νόμιμες δημοφιλείς βιβλιοθήκες
  • Χρήση ονομάτων και περιγραφών πακέτων με typosquatting που έμοιαζαν πολύ με αξιόπιστα εργαλεία
  • Διαχωρισμός του κακόβουλου λογισμικού σε έναν φαινομενικά ακίνδυνο φορτωτή και ένα ωφέλιμο φορτίο δεύτερου σταδίου
  • Ταχεία περιστροφή, αφαίρεση ή ανίχνευση δευτερευόντων πακέτων

Το πρώτο γνωστό πακέτο που συνδέεται με την καμπάνια, '@hash-validator/v2', μεταφορτώθηκε τον Σεπτέμβριο του 2025.

Επέκταση πέρα από το npm και την εξέλιξη του κακόβουλου λογισμικού

Οι ερευνητές παρατήρησαν σημάδια αυτής της δραστηριότητας μήνες αργότερα, επιβεβαιώνοντας τη χρήση μεταβατικών εξαρτήσεων για την εκτέλεση κακόβουλου κώδικα σε μηχανήματα προγραμματιστών και την κλοπή πολύτιμων δεδομένων. Η καμπάνια επεκτάθηκε αργότερα στο Python Package Index μέσω ενός κακόβουλου πακέτου με το όνομα scraper-npm, το οποίο μεταφορτώθηκε τον Φεβρουάριο του 2026 με παρόμοια λειτουργικότητα.

Πιο πρόσφατες εκδόσεις της επιχείρησης φέρονται να εγκαθίδρυσαν μόνιμη απομακρυσμένη πρόσβαση μέσω SSH και χρησιμοποίησαν ωφέλιμα φορτία που μεταγλωττίστηκαν από το Rust για να κλέψουν ολόκληρα έργα πηγαίου κώδικα και πνευματική ιδιοκτησία από μολυσμένα συστήματα.

Από βασικό κλέφτη σε απειλή πολλαπλών πλατφορμών

Οι πρώτες εκδόσεις του κακόβουλου λογισμικού ήταν ασαφή προγράμματα κλοπής JavaScript που έψαχναν αναδρομικά σε λειτουργικούς καταλόγους για αρχεία .env και .json πριν τα προετοιμάσουν για εξαγωγή σε έναν τομέα που φιλοξενείται από το Vercel και ο οποίος προηγουμένως είχε συνδεθεί με τη δραστηριότητα του Famous Chollima.

Οι νεότερες εκδόσεις ενσωμάτωσαν το PromptMink ως μία μόνο εκτελέσιμη εφαρμογή Node.js. Ωστόσο, αυτό αύξησε το μέγεθος του ωφέλιμου φορτίου από περίπου 5,1KB σε σχεδόν 85MB, καθιστώντας την παράδοση λιγότερο αποτελεσματική. Για να ξεπεράσουν αυτόν τον περιορισμό, οι εισβολείς φέρεται να μετέβησαν σε NAPI-RS, επιτρέποντας τα προμεταγλωττισμένα πρόσθετα Node.js γραμμένα σε Rust.

Αυξανόμενος κίνδυνος για την αλυσίδα εφοδιασμού ανοιχτού κώδικα

Η εξέλιξη της καμπάνιας από ένα απλό κλέφτη πληροφοριών σε μια εξειδικευμένη οικογένεια κακόβουλου λογισμικού πολλαπλών πλατφορμών που στοχεύει Windows, Linux και macOS δείχνει μια σημαντική κλιμάκωση των δυνατοτήτων της. Οι λειτουργίες της περιλαμβάνουν πλέον κλοπή διαπιστευτηρίων, ανάπτυξη backdoor SSH και κλοπή ολόκληρων έργων ανάπτυξης.

Οι ερευνητές κατέληξαν στο συμπέρασμα ότι η Famous Chollima συνδυάζει κώδικα που δημιουργείται από τεχνητή νοημοσύνη με μεθόδους παράδοσης πακέτων σε επίπεδα για να αποφύγει την ανίχνευση και να χειραγωγήσει τους αυτοματοποιημένους βοηθούς κωδικοποίησης πιο αποτελεσματικά από τους ανθρώπινους προγραμματιστές.

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...