Dirbtinio intelekto valdoma „PromptMink“ kenkėjiškų programų kampanija
Kibernetinio saugumo tyrėjai aptiko kenkėjišką kodą, paslėptą „npm“ pakete, kai į projektą buvo įvesta kenksminga priklausomybė naudojant kodą, kurio bendraautorius buvo „Anthropic“ Claude'o Opuso didelio kalbų modelio (LLM) specialistas. Šis atradimas pabrėžia, kaip programinės įrangos tiekimo grandinės grėsmės vystosi dėl netinkamo dirbtinio intelekto padedamų kūrimo darbo eigų naudojimo.
Kampanijos centre esantis paketas „@validate-sdk/v2“ „npm“ platformoje buvo pristatytas kaip programinės įrangos kūrimo rinkinys, skirtas maišai, patvirtinimui, kodavimui ir dekodavimui bei saugiam atsitiktinių skaičių generavimui. Iš tikrųjų jis buvo sukurtas siekiant pavogti slaptas paslaptis iš pažeistų sistemų. Tyrėjai pastebėjo požymių, rodančių, kad paketas galėjo būti „koduojamas vibracijomis“ naudojant generatyvinį dirbtinį intelektą. Jis pirmą kartą į „npm“ buvo įkeltas 2025 m. spalį.
Turinys
„PromptMink“ siejama su Šiaurės Korėjos grasinimų veikla
Tyrėjai kampaniją pavadino „PromptMink“ ir mano, kad ji susijusi su Šiaurės Korėjos grėsmių veikėju „Famous Chollima“, dar žinomu kaip „Shifty Corsair“. Ši grupuotė anksčiau buvo siejama su ilgai vykdoma operacija „Contagious Interview“ ir nesąžiningomis IT darbuotojų aferomis.
Kampanija rodo nuolatinį dėmesį atvirojo kodo ekosistemai, ypač aplinkoms, susijusioms su kriptovaliutomis ir „Web3“ kūrimu.
Dirbtinio intelekto bendraautorius Commit pristatė pavojingą priklausomybę
Kenkėjiškas paketas buvo įterptas per vasario 28 d. atliktą įskiepio pataisą autonominėje prekybos agentų saugykloje. Pranešama, kad šį įskiepį kartu su „Anthropic“ Claude'o Opuso modeliu atliko šis specialistas. Įtrauktas paketas leido užpuolikams gauti prieigą prie kriptovaliutų piniginių ir pavogti lėšas.
Priklausomybių grandinė buvo perkelta per kelis paketus. „@validate-sdk/v2“ buvo įtrauktas į „@solana-launchpad/sdk“ paketą, kurį vėliau naudojo trečiasis paketas, pavadintas „openpaw-graveyard“. Šis paketas buvo apibūdintas kaip autonominis dirbtinio intelekto agentas, galintis sukurti socialinę grandinės tapatybę „Solana“ blokų grandinėje per „Tapestry Protocol“, prekiauti kriptovaliuta per „Bankr“ ir sąveikauti su kitais agentais „Moltbook“.
2026 m. vasario mėn. pridėtas šaltinio kodo pakeitimas pridėjo užkrėstą priklausomybę, dėl kurios buvo vykdomas kenkėjiškas kodas ir nutekinti prisijungimo duomenys, galintys atskleisti piniginės išteklius.
Sluoksniuota infekcijos strategija, skirta išvengti aptikimo
Užpuolikai naudojo etapinę paketų struktūrą. Pradiniai paketai atrodė švarūs ir juose nebuvo akivaizdaus kenkėjiško kodo. Vietoj to, jie importavo antrinius paketus, kuriuose buvo saugomos tikrosios kenksmingos funkcijos. Jei vienas kenkėjiškas antrinis paketas buvo aptiktas arba pašalintas, jis buvo greitai pakeistas.
Kai kurie kampanijoje nustatyti pirmojo lygio paketai:
@solana-launchpad/sdk
@meme-sdk/prekyba
@validate-ethereum-address/core
@solmasterv3/solana-metadata-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk
Šie paketai teigė teikiantys su kriptovaliutomis susijusias funkcijas ir apima daug patikimų priklausomybių, tokių kaip „axios“ ir „bn.js“, kurios padėjo jiems atrodyti teisėtiems. Tarp šių patikimų bibliotekų buvo paslėptas ir mažesnis skaičius kenkėjiškų priklausomybių.
Užpuolikų naudojami slapti metodai
Grėsmių vykdytojai naudojo kelis metodus įtarumui sumažinti ir atkaklumui pagerinti:
- Kuriamos kenkėjiškos funkcijų versijos, jau esančios teisėtose populiariose bibliotekose
- Naudojami rašybos klaidos paketų pavadinimuose ir aprašymuose, kurie labai priminė patikimus įrankius
- Kenkėjiškos programos padalijimas į nekenksmingai atrodantį įkrovos įrenginį ir antrojo etapo naudingąją apkrovą
- Greitai besisukančios, pašalintos arba aptiktos antrinės pakuotės
Pirmasis žinomas su kampanija susietas paketas „@hash-validator/v2“ buvo įkeltas 2025 m. rugsėjį.
Plėtra už npm ir kenkėjiškų programų evoliucijos ribų
Tyrėjai pastebėjo šios veiklos požymių po kelių mėnesių, patvirtindami, kad buvo naudojamos tranzitinės priklausomybės kenkėjiškam kodui paleisti kūrėjų kompiuteriuose ir pavogti vertingus duomenis. Vėliau kampanija išsiplėtė į „Python“ paketų indeksą naudojant kenkėjišką paketą pavadinimu „scraper-npm“, kuris buvo įkeltas 2026 m. vasarį su panašiomis funkcijomis.
Pranešama, kad naujesnės operacijos versijos užmezgė nuolatinę nuotolinę prieigą per SSH ir naudojo „Rust“ kompiliuotus naudinguosius duomenis, kad pavogtų ištisus šaltinio kodo projektus ir intelektinę nuosavybę iš užkrėstų sistemų.
Nuo paprasto vagystės iki daugiaplatformės grėsmės
Ankstesnės kenkėjiškos programos versijos buvo užmaskuotos „JavaScript“ vagystės, kurios rekursyviai ieškojo darbiniuose kataloguose .env ir .json failų prieš paruošdamos juos eksfiltracijai į „Vercel“ talpinamą domeną, anksčiau susietą su „Famous Chollima“ veikla.
Vėlesnėse versijose „PromptMink“ buvo įterpta kaip viena vykdomoji „Node.js“ programa. Tačiau dėl to padidėjo naudingosios apkrovos dydis nuo maždaug 5,1 KB iki beveik 85 MB, todėl pristatymas tapo mažiau efektyvus. Pranešama, kad norėdami įveikti šį apribojimą, užpuolikai perėjo prie NAPI-RS, leidžiančios naudoti iš anksto kompiliuotus „Node.js“ priedus, parašytus „Rust“ kalba.
Didėjanti rizika atvirojo kodo tiekimo grandinei
Kampanijos evoliucija nuo paprastos informacijos vagies iki specializuotos daugiaplatformės kenkėjiškų programų šeimos, skirtos „Windows“, „Linux“ ir „macOS“, rodo reikšmingą pajėgumų padidėjimą. Jos funkcijos dabar apima kredencialų vagystę, SSH galinių durų diegimą ir visų kūrimo projektų vagystę.
Tyrėjai padarė išvadą, kad „Famous Chollima“ derina dirbtinio intelekto sugeneruotą kodą su sluoksniuotais paketų pristatymo metodais, kad išvengtų aptikimo ir efektyviau manipuliuotų automatizuotais kodavimo asistentais nei žmonės kūrėjai.
