Campanha de malware PromptMink impulsionada por IA
Pesquisadores de cibersegurança descobriram um código malicioso oculto em um pacote npm após a introdução de uma dependência prejudicial em um projeto por meio de código coescrito pelo modelo de linguagem de grande porte (LLM) Claude Opus, da Anthropic. A descoberta destaca como as ameaças à cadeia de suprimentos de software estão evoluindo devido ao uso indevido de fluxos de trabalho de desenvolvimento assistidos por IA.
O pacote no centro da campanha, '@validate-sdk/v2', foi apresentado no npm como um kit de desenvolvimento de software utilitário para hashing, validação, codificação e decodificação, além de geração segura de números aleatórios. Na realidade, ele foi projetado para roubar segredos sensíveis de sistemas comprometidos. Os investigadores notaram indícios que sugerem que o pacote pode ter sido "codificado por vibração" usando inteligência artificial generativa. Ele foi carregado pela primeira vez no npm em outubro de 2025.
Índice
PromptMink ligada a atividades que representam ameaças da Coreia do Norte
Os pesquisadores deram o nome de PromptMink à campanha e acreditam que ela esteja ligada ao grupo de ameaças cibernéticas norte-coreano Famous Chollima, também conhecido como Shifty Corsair. Esse grupo já foi associado à operação de longa duração Contagious Interview e a golpes fraudulentos envolvendo trabalhadores de TI.
A campanha demonstra um foco contínuo no ecossistema de código aberto, especialmente em ambientes ligados a criptomoedas e desenvolvimento Web3.
Commit co-autorado por IA introduziu dependência perigosa
O pacote malicioso foi inserido por meio de uma alteração feita em 28 de fevereiro em um repositório de um agente de negociação autônomo. Essa alteração teria sido co-escrita por Claude Opus, da Anthropic. Uma vez incluído, o pacote permitiu que os atacantes obtivessem acesso a carteiras de criptomoedas e roubassem fundos.
A cadeia de dependências percorria vários pacotes. O pacote '@validate-sdk/v2' estava listado dentro de '@solana-launchpad/sdk', que por sua vez era utilizado por um terceiro pacote chamado openpaw-graveyard. Este pacote foi descrito como um agente de IA autônomo capaz de construir uma identidade social on-chain na blockchain Solana através do Protocolo Tapestry, negociar criptomoedas através do Bankr e interagir com outros agentes no Moltbook.
Uma alteração no código-fonte em fevereiro de 2026 adicionou a dependência comprometida, fazendo com que um código malicioso fosse executado e vazasse credenciais que poderiam expor os ativos da carteira.
Estratégia de infecção em camadas, concebida para evitar a detecção.
Os atacantes usaram uma estrutura de pacotes em fases. Os pacotes iniciais pareciam limpos e não continham nenhum código malicioso óbvio. Em vez disso, eles importavam pacotes secundários onde a verdadeira funcionalidade prejudicial estava armazenada. Se um pacote secundário malicioso fosse detectado ou removido, ele era rapidamente substituído.
Alguns dos pacotes de primeira camada identificados na campanha incluíram:
@solana-launchpad/sdk
@meme-sdk/trade
@validate-ethereum-address/core
@solmasterv3/solana-metadata-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk
Esses pacotes alegavam fornecer funções relacionadas a criptomoedas e incluíam muitas dependências confiáveis, como axios e bn.js, o que os ajudava a parecer legítimos. Ocultas entre essas bibliotecas confiáveis, havia um número menor de dependências maliciosas.
Técnicas de furtividade usadas pelos atacantes
Os agentes maliciosos utilizaram diversos métodos para reduzir a suspeita e aumentar a persistência:
- Criar versões maliciosas de funções já encontradas em bibliotecas populares legítimas.
- Utilizando typosquatting em nomes e descrições de pacotes que se assemelhavam muito a ferramentas confiáveis.
- Dividir o malware em um carregador de aparência inofensiva e uma carga útil de segundo estágio.
- Pacotes secundários que giram rapidamente, são removidos ou detectados
O primeiro pacote conhecido relacionado à campanha, '@hash-validator/v2', foi carregado em setembro de 2025.
Expansão além do npm e da evolução do malware
Meses depois, os pesquisadores notaram indícios dessa atividade, confirmando o uso de dependências transitivas para executar código malicioso em máquinas de desenvolvedores e roubar dados valiosos. Posteriormente, a campanha se expandiu para o Índice de Pacotes Python (PyPI) por meio de um pacote malicioso chamado scraper-npm, carregado em fevereiro de 2026 com funcionalidade semelhante.
Versões mais recentes da operação supostamente estabeleceram acesso remoto persistente via SSH e usaram payloads compilados em Rust para roubar projetos inteiros de código-fonte e propriedade intelectual de sistemas infectados.
De ladrão básico a ameaça multiplataforma
As primeiras versões do malware eram programas JavaScript ofuscados que buscavam recursivamente arquivos .env e .json nos diretórios de trabalho antes de prepará-los para exfiltração em um domínio hospedado pela Vercel, anteriormente associado às atividades do grupo Famous Chollima.
Versões posteriores incorporaram o PromptMink como um aplicativo executável único em Node.js. No entanto, isso aumentou o tamanho da carga útil de aproximadamente 5,1 KB para quase 85 MB, tornando a entrega menos eficiente. Para contornar essa limitação, os atacantes supostamente migraram para o NAPI-RS, permitindo complementos pré-compilados em Node.js escritos em Rust.
Risco crescente para a cadeia de suprimentos de código aberto
A evolução da campanha, de um simples ladrão de informações para uma família de malware multiplataforma especializada que visa Windows, Linux e macOS, demonstra uma escalada significativa em suas capacidades. Suas funções agora incluem roubo de credenciais, implantação de backdoors em redes SSH e roubo de projetos de desenvolvimento completos.
Os pesquisadores concluíram que o Famous Chollima está combinando código gerado por IA com métodos de entrega de pacotes em camadas para evitar a detecção e manipular assistentes de codificação automatizados com mais eficácia do que desenvolvedores humanos.
