Kampania malware PromptMink oparta na sztucznej inteligencji
Badacze cyberbezpieczeństwa odkryli złośliwy kod ukryty w pakiecie npm po wprowadzeniu do projektu szkodliwej zależności za pomocą kodu, którego współautorem był Claude Opus, specjalista od modelu dużego języka (LLM) w firmie Anthropic. Odkrycie to uwypukla, jak zagrożenia dla łańcucha dostaw oprogramowania ewoluują poprzez niewłaściwe wykorzystanie procesów programistycznych wspomaganych przez sztuczną inteligencję.
Pakiet będący centrum kampanii, „@validate-sdk/v2”, został zaprezentowany na platformie npm jako zestaw narzędzi programistycznych do haszowania, walidacji, kodowania i dekodowania oraz bezpiecznego generowania losowych liczb. W rzeczywistości został zaprojektowany w celu kradzieży poufnych informacji z zainfekowanych systemów. Śledczy zauważyli oznaki sugerujące, że pakiet mógł zostać „zakodowany w sposób wizualny” przy użyciu generatywnej sztucznej inteligencji. Po raz pierwszy został przesłany do platformy npm w październiku 2025 roku.
Spis treści
PromptMink powiązany z działalnością zagrażającą Korei Północnej
Badacze nadali kampanii nazwę PromptMink i uważają, że jest ona powiązana z północnokoreańskim cyberprzestępcą Famous Chollima, znanym również jako Shifty Corsair. Grupa ta była wcześniej powiązana z długotrwałą operacją Contagious Interview i oszustwami IT Worker.
Kampania jest dowodem na ciągłe skupienie się na ekosystemie open source, zwłaszcza na środowiskach powiązanych z kryptowalutami i rozwojem Web3.
Współtworzone przez sztuczną inteligencję zatwierdzenie wprowadziło niebezpieczną zależność
Szkodliwy pakiet został wprowadzony do repozytorium autonomicznego agenta handlowego za pośrednictwem zatwierdzenia z 28 lutego. Według doniesień, współautorem tego zatwierdzenia był model Claude Opus z Anthropic. Po wprowadzeniu pakietu, atakujący uzyskali dostęp do portfeli kryptowalut i mogli kraść środki.
Łańcuch zależności przechodził przez wiele pakietów. Pakiet „@validate-sdk/v2” znajdował się w pakiecie „@solana-launchpad/sdk”, który następnie był wykorzystywany przez trzeci pakiet o nazwie openpaw-graveyard. Pakiet ten został opisany jako autonomiczny agent AI zdolny do budowania społecznej tożsamości łańcuchowej w blockchainie Solana za pośrednictwem protokołu Tapestry, handlu kryptowalutami za pośrednictwem Bankr i interakcji z innymi agentami w Moltbook.
Zatwierdzenie kodu źródłowego z lutego 2026 r. dodało zanieczyszczoną zależność, powodując wykonanie złośliwego kodu i wyciek danych uwierzytelniających, które mogą ujawnić zasoby portfela.
Strategia wielowarstwowej infekcji zaprojektowana w celu uniknięcia wykrycia
Atakujący stosowali fazową strukturę pakietów. Początkowe pakiety wydawały się czyste i nie zawierały oczywistego złośliwego kodu. Zamiast tego importowali pakiety wtórne, w których przechowywana była rzeczywista, szkodliwa funkcjonalność. Jeśli jeden złośliwy pakiet wtórny został wykryty lub usunięty, był szybko zastępowany.
Niektóre pakiety pierwszej warstwy zidentyfikowane w ramach kampanii obejmowały:
@solana-launchpad/sdk
@meme-sdk/trade
@validate-ethereum-address/core
@solmasterv3/solana-metadata-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk
Pakiety te rzekomo zapewniały funkcje związane z kryptowalutami i zawierały wiele zaufanych zależności, takich jak axios i bn.js, co sprawiało, że wydawały się legalne. Wśród tych zaufanych bibliotek ukryta była mniejsza liczba złośliwych zależności.
Techniki skradania się stosowane przez atakujących
Aktorzy zagrożeń stosują szereg metod, aby zmniejszyć podejrzliwość i poprawić trwałość zagrożeń:
- Tworzenie złośliwych wersji funkcji, które już znajdują się w legalnych, popularnych bibliotekach
- Wykorzystywanie nazw i opisów pakietów, które bardzo przypominają nazwy zaufanych narzędzi
- Podzielenie złośliwego oprogramowania na niegroźnie wyglądającą ładowarkę i ładunek drugiego etapu
- Szybko obracające się, usunięte lub wykryte pakiety wtórne
Pierwszy znany pakiet powiązany z kampanią, „@hash-validator/v2”, został przesłany we wrześniu 2025 r.
Rozszerzenie poza npm i ewolucję złośliwego oprogramowania
Naukowcy zauważyli oznaki tej aktywności kilka miesięcy później, potwierdzając wykorzystanie zależności przechodnich do uruchamiania złośliwego kodu na komputerach programistów i kradzieży cennych danych. Kampania rozszerzyła się później na indeks pakietów Pythona za pośrednictwem złośliwego pakietu o nazwie scraper-npm, przesłanego w lutym 2026 roku i oferującego podobną funkcjonalność.
Jak donoszą źródła, nowsze wersje operacji ustanowiły stały zdalny dostęp przez SSH i wykorzystywały skompilowane w języku Rust ładunki do kradzieży całych projektów z kodem źródłowym i własności intelektualnej z zainfekowanych systemów.
Od podstawowego złodzieja do zagrożenia wieloplatformowego
Wczesne wersje złośliwego oprogramowania były zamaskowanymi programami do kradzieży kodu JavaScript, które rekurencyjnie przeszukiwały katalogi robocze w poszukiwaniu plików .env i .json, a następnie przygotowywały je do wykradzenia do domeny hostowanej w systemie Vercel, wcześniej powiązanej z działalnością Famous Chollima.
Późniejsze wersje osadzały PromptMink jako pojedynczą aplikację wykonywalną Node.js. Jednak zwiększyło to rozmiar danych z około 5,1 KB do prawie 85 MB, co zmniejszyło wydajność dostarczania. Aby obejść to ograniczenie, atakujący podobno przeszli na NAPI-RS, umożliwiając korzystanie z prekompilowanych dodatków Node.js napisanych w języku Rust.
Rosnące ryzyko dla łańcucha dostaw open source
Rozwój kampanii z prostego złodzieja informacji w wyspecjalizowaną rodzinę wieloplatformowego złośliwego oprogramowania atakującą systemy Windows, Linux i macOS pokazuje znaczny wzrost możliwości. Jej funkcje obejmują teraz kradzież danych uwierzytelniających, wdrażanie backdoorów SSH oraz kradzież całych projektów programistycznych.
Badacze doszli do wniosku, że Famous Chollima łączy kod generowany przez sztuczną inteligencję z wielowarstwowymi metodami dostarczania pakietów, aby uniknąć wykrycia i manipulować automatycznymi asystentami kodowania skuteczniej niż ludzcy programiści.
