Кампания по распространению вредоносного ПО PromptMink с использованием искусственного интеллекта
Исследователи в области кибербезопасности обнаружили вредоносный код, скрытый в npm-пакете, после того как в проект была внедрена опасная зависимость через код, написанный совместно с большой языковой моделью Claude Opus (LLM) компании Anthropic. Это открытие подчеркивает, как угрозы в цепочке поставок программного обеспечения развиваются из-за злоупотребления рабочими процессами разработки с использованием искусственного интеллекта.
Пакет, ставший центральным элементом кампании, «@validate-sdk/v2», был представлен на npm как вспомогательный комплект разработки программного обеспечения для хеширования, проверки, кодирования и декодирования, а также безопасной генерации случайных чисел. В действительности он был разработан для кражи конфиденциальных секретов из скомпрометированных систем. Следователи отметили признаки, указывающие на то, что пакет мог быть «написан с помощью генеративного ИИ». Впервые он был загружен на npm в октябре 2025 года.
Оглавление
Компания PromptMink связана с угрозами со стороны Северной Кореи.
Исследователи назвали эту кампанию PromptMink и считают, что она связана с северокорейской группировкой Famous Chollima, также известной как Shifty Corsair. Эта группа ранее была связана с длительной операцией Contagious Interview и мошенническими схемами с поиском IT-специалистов.
Кампания демонстрирует неизменную ориентацию на экосистему открытого исходного кода, особенно на среды, связанные с криптовалютами и разработкой Web3.
Внесенные ИИ в качестве соавтора коммита привели к опасной зависимости.
Вредоносный пакет был внедрен через коммит от 28 февраля в репозиторий автономного торгового агента. Сообщается, что соавтором этого коммита был Клод Опус из Anthropic. После внедрения пакет позволил злоумышленникам получить доступ к криптовалютным кошелькам и украсть средства.
Зависимости проходили через несколько пакетов. Пакет '@validate-sdk/v2' был указан внутри пакета '@solana-launchpad/sdk', который затем использовался третьим пакетом под названием openpaw-graveyard. Этот пакет описывался как автономный агент ИИ, способный создавать социальную идентичность в блокчейне Solana через протокол Tapestry, торговать криптовалютой через Bankr и взаимодействовать с другими агентами на Moltbook.
В феврале 2026 года в исходный код был добавлен вредоносный код, который позволил выполнить вредоносный код и получить доступ к учетным данным, что могло привести к утечке активов кошелька.
Многоуровневая стратегия заражения, разработанная для того, чтобы избежать обнаружения.
Злоумышленники использовали поэтапную структуру пакетов. Первоначальные пакеты выглядели чистыми и не содержали очевидного вредоносного кода. Вместо этого они импортировали вторичные пакеты, в которых хранилась реальная вредоносная функциональность. Если обнаруживался или удалялся один вредоносный вторичный пакет, он быстро заменялся другим.
В ходе кампании были выявлены следующие пакеты услуг первого уровня:
@solana-launchpad/sdk
@meme-sdk/trade
@validate-ethereum-address/core
@solmasterv3/solana-metadata-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk
Эти пакеты, как утверждалось, предоставляли функции, связанные с криптовалютами, и включали множество проверенных зависимостей, таких как axios и bn.js, что придавало им видимость легитимности. Однако среди этих проверенных библиотек скрывалось небольшое количество вредоносных зависимостей.
Методы скрытного проникновения, используемые нападавшими
Злоумышленники использовали несколько методов для снижения подозрительности и повышения настойчивости:
- Создание вредоносных версий функций, уже имеющихся в легитимных популярных библиотеках.
- Использование опечаток в названиях и описаниях пакетов, которые очень напоминали названия проверенных инструментов.
- Разделение вредоносного ПО на внешне безобидный загрузчик и полезную нагрузку второго этапа.
- Быстро вращающиеся, удаленные или обнаруженные вторичные упаковки
Первый известный пакет, связанный с этой кампанией, '@hash-validator/v2', был загружен в сентябре 2025 года.
Расширение за пределы npm и эволюция вредоносного ПО
Спустя несколько месяцев исследователи обнаружили признаки этой активности, подтвердив использование транзитивных зависимостей для запуска вредоносного кода на машинах разработчиков и кражи ценных данных. Позже кампания распространилась на индекс пакетов Python через вредоносный пакет под названием scraper-npm, загруженный в феврале 2026 года с аналогичной функциональностью.
По сообщениям, в более поздних версиях этой операции был установлен постоянный удаленный доступ через SSH, и использовались скомпилированные на Rust полезные нагрузки для кражи целых проектов исходного кода и интеллектуальной собственности из зараженных систем.
От обычного вора данных до угрозы, затрагивающей несколько платформ
Ранние версии вредоносного ПО представляли собой обфусцированные JavaScript-украдки, которые рекурсивно искали в рабочих каталогах файлы .env и .json, прежде чем подготовить их для эксфильтрации на домен, размещенный на серверах Vercel и ранее связанный с деятельностью Famous Chollima.
В более поздних версиях PromptMink был встроен как единое исполняемое приложение Node.js. Однако это увеличило размер полезной нагрузки с примерно 5,1 КБ до почти 85 МБ, что снизило эффективность доставки. Сообщается, что для преодоления этого ограничения злоумышленники перешли на NAPI-RS, позволяющий использовать предварительно скомпилированные дополнения Node.js, написанные на Rust.
Растущий риск для цепочки поставок программного обеспечения с открытым исходным кодом
Развитие этой кампании от простого похитителя информации до специализированного семейства вредоносных программ, нацеленных на Windows, Linux и macOS, демонстрирует значительное расширение возможностей. Теперь ее функции включают кражу учетных данных, развертывание бэкдоров SSH и кражу целых проектов разработки.
Исследователи пришли к выводу, что Famous Chollima сочетает сгенерированный искусственным интеллектом код с многоуровневыми методами доставки пакетов, чтобы избежать обнаружения и манипулировать автоматизированными помощниками по программированию более эффективно, чем это делают разработчики-люди.
