Mākslīgā intelekta vadīta PromptMink ļaunprogrammatūras kampaņa
Kiberdrošības pētnieki ir atklājuši ļaunprātīgu kodu, kas paslēpts npm pakotnē pēc tam, kad projektā, izmantojot kodu, kura līdzautors ir Anthropic Claude Opus lielo valodu modelis (LLM), tika ieviesta kaitīga atkarība. Šis atklājums izceļ to, kā programmatūras piegādes ķēdes apdraudējumi attīstās, ļaunprātīgi izmantojot mākslīgā intelekta atbalstītas izstrādes darbplūsmas.
Kampaņas centrā esošā pakotne “@validate-sdk/v2” platformā npm tika prezentēta kā utilītprogrammatūras izstrādes komplekts hešēšanai, validācijai, kodēšanai un dekodēšanai, kā arī drošai nejaušo vērtību ģenerēšanai. Patiesībā tā bija izstrādāta, lai nozagtu sensitīvus noslēpumus no kompromitētām sistēmām. Izmeklētāji ievēroja norādes, kas liecināja, ka pakotne, iespējams, ir “vibrācijas kodēta”, izmantojot ģeneratīvo mākslīgo intelektu. Tā pirmo reizi npm platformā tika augšupielādēta 2025. gada oktobrī.
Satura rādītājs
PromptMink saistīts ar Ziemeļkorejas draudu aktivitātēm
Pētnieki kampaņu ir nosaukuši par PromptMink un uzskata, ka tā ir saistīta ar Ziemeļkorejas draudu izpildītāju Famous Chollima, kas pazīstams arī kā Shifty Corsair. Šī grupa iepriekš ir bijusi saistīta ar ilgstošo operāciju Contagious Interview un krāpnieciskām IT darbinieku afērām.
Kampaņa demonstrē pastāvīgu uzmanību atvērtā pirmkoda ekosistēmai, īpaši vidēm, kas saistītas ar kriptovalūtu un Web3 izstrādi.
Ar AI līdzautorību ieviestā Commit ieviesa bīstamu atkarību
Ļaunprātīgā pakotne tika ievietota, izmantojot 28. februāra izmaiņu (commit) autonomā tirdzniecības aģentu krātuvē. Tiek ziņots, ka šo izmaiņu līdzautors bija Anthropic Claude Opus modelis. Pēc iekļaušanas pakotne ļāva uzbrucējiem iegūt piekļuvi kriptovalūtu makiem un nozagt līdzekļus.
Atkarību ķēde tika pārvietota cauri vairākām pakotnēm. “@validate-sdk/v2” bija norādīts “@solana-launchpad/sdk” iekšienē, ko pēc tam izmantoja trešā pakotne ar nosaukumu openpaw-graveyard. Šī pakotne tika aprakstīta kā autonoms mākslīgā intelekta aģents, kas spēj izveidot sociālu identitāti ķēdē Solana blokķēdē, izmantojot Tapestry protokolu, tirgoties ar kriptovalūtu, izmantojot Bankr, un mijiedarboties ar citiem aģentiem platformā Moltbook.
2026. gada februārī veiktā pirmkoda komitēšana pievienoja bojāto atkarību, izraisot ļaunprātīga koda izpildi un akreditācijas datu noplūdi, kas varētu atklāt maka aktīvus.
Slāņveida inficēšanās stratēģija, kas izstrādāta, lai izvairītos no atklāšanas
Uzbrucēji izmantoja fāzētu pakotņu struktūru. Sākotnējās pakotnes šķita tīras un nesaturēja acīmredzamu ļaunprātīgu kodu. Tā vietā viņi importēja sekundārās pakotnes, kurās tika glabāta faktiskā kaitīgā funkcionalitāte. Ja viena ļaunprātīga sekundārā pakotne tika atklāta vai noņemta, tā tika ātri aizstāta.
Dažas kampaņā identificētās pirmā slāņa paketes ietvēra:
@solana-launchpad/sdk
@meme-sdk/trade
@validate-ethereum-address/core
@solmasterv3/solana-metadata-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk
Šīs pakotnes apgalvoja, ka nodrošina ar kriptovalūtu saistītas funkcijas, un ietvēra daudzas uzticamas atkarības, piemēram, axios un bn.js, kas palīdzēja tām izskatīties likumīgām. Starp šīm uzticamajām bibliotēkām bija paslēpts neliels skaits ļaunprātīgu atkarību.
Uzbrucēju izmantotās slepenās metodes
Apdraudējumu izraisītāji izmantoja vairākas metodes, lai mazinātu aizdomas un uzlabotu noturību:
- Ļaunprātīgu funkciju versiju izveide, kas jau atrodamas likumīgās populārās bibliotēkās
- Izmantojot drukas kļūdas pakotņu nosaukumos un aprakstos, kas ļoti atgādināja uzticamus rīkus
- Ļaunprogrammatūras sadalīšana nekaitīga izskata ielādētājā un otrās pakāpes lietderīgajā slodzē
- Ātri rotējoši, noņemti vai atklāti sekundārie iepakojumi
Pirmā zināmā ar kampaņu saistītā pakotne “@hash-validator/v2” tika augšupielādēta 2025. gada septembrī.
Paplašināšanās ārpus npm un ļaunprogrammatūras evolūcijas
Pētnieki pamanīja šīs aktivitātes pazīmes vairākus mēnešus vēlāk, apstiprinot tranzitīvu atkarību izmantošanu, lai palaistu ļaunprātīgu kodu izstrādātāju datoros un nozagtu vērtīgus datus. Kampaņa vēlāk paplašinājās līdz Python pakotņu indeksam, izmantojot ļaunprātīgu pakotni ar nosaukumu scraper-npm, kas tika augšupielādēta 2026. gada februārī ar līdzīgu funkcionalitāti.
Jaunākās operācijas versijas, kā ziņots, izveidoja pastāvīgu attālo piekļuvi, izmantojot SSH, un izmantoja Rust kompilētus vērtumus, lai nozagtu veselus pirmkoda projektus un intelektuālo īpašumu no inficētām sistēmām.
No vienkārša zagļa līdz daudzplatformu apdraudējumam
Agrīnās ļaunprogrammatūras versijas bija apmulsināti JavaScript zagļi, kas rekursīvi meklēja darba direktorijās .env un .json failus, pirms sagatavoja tos eksfiltrācijai uz Vercel mitinātu domēnu, kas iepriekš bija saistīts ar Famous Chollima darbību.
Vēlākās versijās PromptMink tika iestrādāts kā Node.js viena izpildāma lietojumprogramma. Tomēr tas palielināja lietderīgās slodzes lielumu no aptuveni 5,1 KB līdz gandrīz 85 MB, padarot piegādi mazāk efektīvu. Lai pārvarētu šo ierobežojumu, uzbrucēji, kā ziņots, pārgāja uz NAPI-RS, kas ļāva izmantot iepriekš kompilētus Node.js papildinājumus, kas rakstīti Rust valodā.
Pieaugošs risks atvērtā pirmkoda piegādes ķēdei
Kampaņas attīstība no vienkārša informācijas zagļa līdz specializētai daudzplatformu ļaunprogrammatūru saimei, kas vērsta pret Windows, Linux un macOS, liecina par ievērojamu spēju eskalāciju. Tās funkcijas tagad ietver akreditācijas datu zādzību, SSH aizmugures durvju izvietošanu un pilnīgu izstrādes projektu zādzību.
Pētnieki secināja, ka Famous Chollima apvieno mākslīgā intelekta ģenerētu kodu ar daudzslāņainām pakotņu piegādes metodēm, lai izvairītos no atklāšanas un efektīvāk manipulētu ar automatizētiem kodēšanas asistentiem nekā cilvēku izstrādātāji.
