Mesterséges intelligencia által vezérelt PromptMink kártevő kampány
Kiberbiztonsági kutatók egy npm csomagban elrejtett rosszindulatú kódot fedeztek fel, miután egy káros függőséget vezettek be egy projektbe az Anthropic Claude Opus nagy nyelvi modelljével (LLM) közösen írt kóddal. A felfedezés rávilágít arra, hogyan fejlődnek a szoftverellátási lánc fenyegetései a mesterséges intelligencia által támogatott fejlesztési munkafolyamatok helytelen használata révén.
A kampány középpontjában álló csomag, az „@validate-sdk/v2” az npm-en egy hasheléshez, validáláshoz, kódoláshoz és dekódoláshoz, valamint biztonságos véletlenszám-generáláshoz használható segédprogram-fejlesztő készletként volt bemutatva. A valóságban arra tervezték, hogy bizalmas információkat lopjon el a feltört rendszerekből. A nyomozók olyan jeleket észleltek, amelyek arra utaltak, hogy a csomagot generatív mesterséges intelligencia segítségével „vibe-kódolhatták”. Először 2025 októberében töltötték fel az npm-re.
Tartalomjegyzék
PromptMink összefüggésbe hozható az észak-koreai fenyegetésekkel
A kutatók a PromptMink kampányt nevezték el, és úgy vélik, hogy az az észak-koreai Famous Chollima, más néven Shifty Corsair nevű bűnözőcsoporthoz kapcsolódik. Ezt a csoportot korábban a régóta futó Contagious Interview művelettel és az IT-dolgozókat érintő csalásokkal hozták összefüggésbe.
A kampány továbbra is a nyílt forráskódú ökoszisztémára összpontosít, különösen a kriptovalutákhoz és a Web3 fejlesztéshez kapcsolódó környezetekre.
A mesterséges intelligenciával közösen kidolgozott Commit veszélyes függőséget vezetett be
A kártékony csomagot egy február 28-i committal illesztették be egy autonóm kereskedési ügynök adattárába. A commitot állítólag az Anthropic Claude Opus modellje is társszerzője volt. A beillesztés után a csomag lehetővé tette a támadók számára, hogy hozzáférjenek kriptovaluta-tárcákhoz és ellopják a pénzüket.
A függőségi lánc több csomagon keresztül haladt. A „@validate-sdk/v2” a „@solana-launchpad/sdk” csomagban szerepelt, amelyet aztán egy harmadik, openpaw-graveyard nevű csomag használt. Ezt a csomagot egy autonóm MI-ügynökként írták le, amely képes közösségi on-chain identitást felépíteni a Solana blokkláncon a Tapestry Protocol segítségével, kriptovalutával kereskedni a Bankr-en keresztül, és más ügynökökkel interakcióba lépni a Moltbookon.
Egy 2026 februári forráskód-commit hozzáadta a fertőzött függőséget, ami rosszindulatú kód végrehajtását és hitelesítő adatok kiszivárgását okozta, amelyek felfedhették a tárca eszközeit.
Rétegzett fertőzési stratégia az észlelés elkerülése érdekében
A támadók fázisokra bontott csomagstruktúrát alkalmaztak. A kezdeti csomagok tisztáknak tűntek, és nem tartalmaztak nyilvánvaló rosszindulatú kódot. Ehelyett másodlagos csomagokat importáltak, amelyek a valódi káros funkciókat tárolták. Ha egy rosszindulatú másodlagos csomagot észleltek vagy eltávolítottak, azt gyorsan lecserélték.
A kampányban azonosított első rétegű csomagok közül néhány a következőket tartalmazta:
@solana-launchpad/sdk
@meme-sdk/trade
@validate-ethereum-address/core
@solmasterv3/solana-metadata-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk
Ezek a csomagok azt állították, hogy kriptovalutákkal kapcsolatos funkciókat biztosítanak, és számos megbízható függőséget tartalmaztak, mint például az axios és a bn.js, ami segített nekik legitimnek tűnni. Ezen megbízható könyvtárak között kisebb számban voltak rosszindulatú függőségek is.
A támadók által alkalmazott lopakodó technikák
A fenyegetések elkövetői számos módszert alkalmaztak a gyanú csökkentése és a kitartás javítása érdekében:
- A legitim népszerű könyvtárakban már megtalálható függvények rosszindulatú verzióinak létrehozása
- Elgépelések a megbízható eszközökre nagyon hasonlító csomagnevek és leírások használatával
- A kártevő felosztása egy ártalmatlannak tűnő betöltőre és egy második szintű hasznos adatra
- Gyorsan forgó, eltávolított vagy észlelt másodlagos csomagok
Az első ismert, a kampányhoz kapcsolódó csomag, a „@hash-validator/v2” 2025 szeptemberében került feltöltésre.
Bővítés az npm-en és a kártevők fejlődésén túl
A kutatók hónapokkal később észlelték ennek a tevékenységnek a jeleit, megerősítve a tranzitív függőségek használatát rosszindulatú kód futtatására a fejlesztői gépeken és értékes adatok ellopására. A kampány később kiterjedt a Python csomagindexre egy scraper-npm nevű rosszindulatú csomagon keresztül, amelyet 2026 februárjában töltöttek fel hasonló funkcionalitással.
A művelet újabb verziói állítólag állandó távoli hozzáférést hoztak létre SSH-n keresztül, és Rust által fordított hasznos adatokat használtak teljes forráskód-projektek és szellemi tulajdon ellopására a fertőzött rendszerekről.
Az alapvető lopótól a többplatformos fenyegetésig
A kártevő korai verziói obfuszkált JavaScript-ellopók voltak, amelyek rekurzívan kerestek .env és .json fájlokat a működő könyvtárakban, mielőtt felkészítették volna azokat egy korábban a Famous Chollima tevékenységhez kapcsolódó Vercel-en üzemeltetett domainre való kiszivárgásra.
A későbbi verziók a PromptMinket egyetlen futtatható Node.js alkalmazásként ágyazták be. Ez azonban a hasznos adat méretét nagyjából 5,1 KB-ról közel 85 MB-ra növelte, ami kevésbé hatékonyá tette a kézbesítést. Ennek a korlátozásnak a leküzdésére a támadók állítólag áttértek a NAPI-RS-re, amely lehetővé tette a Rustban írt, előre fordított Node.js kiegészítők használatát.
Növekvő kockázat a nyílt forráskódú ellátási láncra nézve
A kampány fejlődése egy egyszerű információlopóból egy specializált, többplatformos kártevőcsaláddá, amely a Windows, Linux és macOS rendszereket célozza meg, a képességek jelentős növekedését mutatja. Funkciói ma már magukban foglalják a hitelesítő adatok ellopását, az SSH hátsó ajtó telepítését és a teljes fejlesztési projektek ellopását.
A kutatók arra a következtetésre jutottak, hogy a Famous Chollima mesterséges intelligencia által generált kódot rétegzett csomagküldési módszerekkel kombinál, hogy elkerülje az észlelést és hatékonyabban manipulálja az automatizált kódolóasszisztenseket, mint az emberi fejlesztők.
