Chiến dịch phần mềm độc hại PromptMink do AI điều khiển

Các nhà nghiên cứu an ninh mạng đã phát hiện mã độc hại ẩn bên trong một gói npm sau khi một phụ thuộc nguy hiểm được đưa vào dự án thông qua mã được đồng tác giả bởi mô hình ngôn ngữ lớn (LLM) Claude Opus của Anthropic. Phát hiện này cho thấy các mối đe dọa trong chuỗi cung ứng phần mềm đang phát triển như thế nào thông qua việc lạm dụng quy trình phát triển có sự hỗ trợ của trí tuệ nhân tạo.

Gói phần mềm trọng tâm của chiến dịch, '@validate-sdk/v2,' được giới thiệu trên npm như một bộ công cụ phát triển phần mềm tiện ích để băm, xác thực, mã hóa và giải mã, cũng như tạo số ngẫu nhiên an toàn. Trên thực tế, nó được thiết kế để đánh cắp các bí mật nhạy cảm từ các hệ thống bị xâm nhập. Các nhà điều tra đã ghi nhận các dấu hiệu cho thấy gói phần mềm này có thể đã được "mã hóa bằng cảm xúc" sử dụng trí tuệ nhân tạo tạo sinh. Nó được tải lên npm lần đầu tiên vào tháng 10 năm 2025.

PromptMink có liên hệ với hoạt động đe dọa từ Triều Tiên.

Các nhà nghiên cứu đã đặt tên cho chiến dịch này là PromptMink và tin rằng nó có liên quan đến nhóm tin tặc Triều Tiên Famous Chollima, còn được biết đến với tên Shifty Corsair. Nhóm này trước đây đã từng liên quan đến chiến dịch Contagious Interview kéo dài nhiều năm và các vụ lừa đảo giả mạo nhân viên CNTT.

Chiến dịch này thể hiện sự tập trung liên tục vào hệ sinh thái mã nguồn mở, đặc biệt là các môi trường liên quan đến tiền điện tử và phát triển Web3.

Bản cam kết do AI đồng soạn thảo đã tạo ra sự phụ thuộc nguy hiểm.

Gói phần mềm độc hại đã được chèn vào thông qua một bản cập nhật ngày 28 tháng 2 vào kho lưu trữ của một tác nhân giao dịch tự động. Bản cập nhật đó được cho là do mô hình Claude Opus của Anthropic đồng tác giả. Sau khi được chèn vào, gói phần mềm này cho phép kẻ tấn công truy cập vào ví tiền điện tử và đánh cắp tiền.

Chuỗi phụ thuộc trải qua nhiều gói. '@validate-sdk/v2' được liệt kê bên trong '@solana-launchpad/sdk', sau đó được sử dụng bởi một gói thứ ba có tên openpaw-graveyard. Gói này được mô tả là một tác nhân AI tự động có khả năng xây dựng danh tính xã hội trên chuỗi khối Solana thông qua Giao thức Tapestry, giao dịch tiền điện tử thông qua Bankr và tương tác với các tác nhân khác trên Moltbook.

Một bản cập nhật mã nguồn vào tháng 2 năm 2026 đã thêm phần phụ thuộc bị nhiễm độc, khiến mã độc hại được thực thi và làm rò rỉ thông tin đăng nhập, có thể làm lộ tài sản trong ví.

Chiến lược lây nhiễm nhiều lớp được thiết kế để tránh bị phát hiện.

Nhóm tấn công sử dụng cấu trúc gói phần mềm theo từng giai đoạn. Các gói ban đầu trông có vẻ sạch sẽ và không chứa mã độc hại rõ ràng. Thay vào đó, chúng nhập các gói phụ, nơi chứa chức năng gây hại thực sự. Nếu một gói phụ độc hại bị phát hiện hoặc bị xóa, nó sẽ nhanh chóng được thay thế.

Một số gói dịch vụ lớp đầu tiên được xác định trong chiến dịch bao gồm:

@solana-launchpad/sdk
@meme-sdk/trade
@validate-ethereum-address/core
@solmasterv3/solana-siêu dữ liệu-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk

Các gói phần mềm này tự nhận cung cấp các chức năng liên quan đến tiền điện tử và bao gồm nhiều thư viện phụ thuộc đáng tin cậy như axios và bn.js, giúp chúng trông có vẻ hợp pháp. Ẩn sâu bên trong những thư viện đáng tin cậy đó là một số lượng nhỏ các thư viện phụ thuộc độc hại.

Các kỹ thuật ẩn nấp được kẻ tấn công sử dụng

Các tác nhân đe dọa đã sử dụng một số phương pháp để giảm thiểu sự nghi ngờ và tăng khả năng tồn tại:

• Tạo ra các phiên bản độc hại của các hàm đã có sẵn trong các thư viện hợp pháp phổ biến.
• Sử dụng tên và mô tả gói phần mềm giả mạo (typosquatting) sao cho gần giống với các công cụ đáng tin cậy.
• Chia phần mềm độc hại thành một trình tải trông có vẻ vô hại và một phần tải trọng giai đoạn hai.
• Các gói hàng phụ xoay nhanh, bị loại bỏ hoặc được phát hiện

Gói phần mềm đầu tiên được biết đến có liên quan đến chiến dịch này, '@hash-validator/v2,' đã được tải lên vào tháng 9 năm 2025.

Sự mở rộng vượt ra ngoài npm và sự tiến hóa của phần mềm độc hại

Các nhà nghiên cứu đã ghi nhận dấu hiệu của hoạt động này vài tháng sau đó, xác nhận việc sử dụng các phụ thuộc bắc cầu để chạy mã độc hại trên máy tính của nhà phát triển và đánh cắp dữ liệu có giá trị. Chiến dịch này sau đó đã mở rộng sang Python Package Index thông qua một gói độc hại có tên scraper-npm, được tải lên vào tháng 2 năm 2026 với chức năng tương tự.

Các phiên bản gần đây hơn của cuộc tấn công được cho là đã thiết lập quyền truy cập từ xa liên tục thông qua SSH và sử dụng các phần mềm độc hại được biên dịch bằng Rust để đánh cắp toàn bộ mã nguồn dự án và tài sản trí tuệ từ các hệ thống bị nhiễm.

Từ phần mềm đánh cắp dữ liệu cơ bản đến mối đe dọa đa nền tảng

Các phiên bản đầu tiên của phần mềm độc hại là những đoạn mã JavaScript được mã hóa để đánh cắp dữ liệu, chúng sẽ tìm kiếm đệ quy các thư mục làm việc để tìm các tệp .env và .json trước khi chuẩn bị chúng để chuyển đến một tên miền do Vercel lưu trữ, trước đây có liên quan đến hoạt động của Famous Chollima.

Các phiên bản sau này đã nhúng PromptMink như một ứng dụng thực thi đơn lẻ bằng Node.js. Tuy nhiên, điều này làm tăng kích thước tải trọng từ khoảng 5,1KB lên gần 85MB, khiến việc phân phối kém hiệu quả hơn. Để khắc phục hạn chế đó, các kẻ tấn công được cho là đã chuyển sang NAPI-RS, cho phép sử dụng các tiện ích bổ sung Node.js được biên dịch sẵn viết bằng Rust.

Rủi ro ngày càng gia tăng đối với chuỗi cung ứng mã nguồn mở

Sự phát triển của chiến dịch này, từ một phần mềm đánh cắp thông tin đơn giản thành một họ phần mềm độc hại đa nền tảng chuyên dụng nhắm mục tiêu vào Windows, Linux và macOS, cho thấy sự leo thang đáng kể về khả năng. Các chức năng của nó hiện bao gồm đánh cắp thông tin đăng nhập, triển khai cửa hậu SSH và đánh cắp toàn bộ dự án phát triển.

Các nhà nghiên cứu kết luận rằng Famous Chollima đang kết hợp mã do AI tạo ra với các phương pháp phân phối gói nhiều lớp để tránh bị phát hiện và thao túng các trợ lý lập trình tự động hiệu quả hơn so với các nhà phát triển con người.