AI驅動的PromptMink惡意軟體活動
網路安全研究人員發現,在Anthropic公司的Claude Opus大型語言模型(LLM)參與編寫的程式碼中引入有害依賴項後,一個npm套件中隱藏了惡意程式碼。這項發現凸顯了軟體供應鏈威脅如何透過濫用人工智慧輔助開發工作流程而不斷演變。
這次攻擊活動的核心軟體包「@validate-sdk/v2」在 npm 上以實用軟體開發工具包的形式出現,用於雜湊、驗證、編碼和解碼以及安全隨機數產生。但實際上,它的設計目的是從被入侵的系統中竊取敏感資訊。調查人員注意到一些跡象表明,該軟體包可能使用了生成式人工智慧進行「氛圍編碼」。它於 2025 年 10 月首次上傳到 npm。
目錄
PromptMink與北韓威脅活動有關
研究人員將攻擊活動命名為“PromptMink”,並認為它與北韓駭客組織“Famous Chollima”(又稱“Shifty Corsair”)有關。該組織先前曾參與長期進行的「Contagious Interview」行動和IT從業人員詐騙活動。
該活動表明,政府將繼續關注開源生態系統,特別是與加密貨幣和 Web3 開發相關的環境。
AI 參與編寫的提交引入了危險的依賴關係
該惡意軟體包是透過 2 月 28 日提交到自主交易代理程式碼庫中的一次程式碼注入植入的。據報道,該提交是由 Anthropic 公司的 Claude Opus 模型共同完成的。一旦被植入,該惡意軟體包便可使攻擊者存取加密貨幣錢包並竊取資金。
依賴鏈涉及多個軟體包。 '@validate-sdk/v2' 被列入 '@solana-launchpad/sdk' 中,而後者又被名為 openpaw-graveyard 的第三個軟體包所使用。該軟體包被描述為一個自主人工智慧代理,能夠透過 Tapestry 協議在 Solana 區塊鏈上建立鏈上社交身份,透過 Bankr 進行加密貨幣交易,並與 Moltbook 上的其他代理進行互動。
2026 年 2 月的一次原始程式碼提交添加了受污染的依賴項,導致惡意程式碼執行並洩露憑證,從而可能暴露錢包資產。
旨在避免被發現的分層感染策略
攻擊者採用了分階段的軟體包結構。初始軟體包看起來乾淨,不包含明顯的惡意程式碼。相反,它們會導入包含真正有害功能的二級軟體包。如果偵測到或移除某個惡意二級軟體包,攻擊者會迅速地用另一個軟體包替換它。
此次活動中確定的一些第一層物資包包括:
@solana-launchpad/sdk
@meme-sdk/trade
@validate-ethereum-address/core
@solmasterv3/solana-元資料-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk
這些軟體包聲稱提供與加密貨幣相關的功能,並包含許多可信任的依賴項,例如 axios 和 bn.js,這使得它們看起來合法。然而,在這些可信任函式庫中卻隱藏著少量惡意依賴項。
攻擊者使用的隱藏技術
威脅行為者使用了多種方法來降低懷疑度並提高持久性:
- 創建已存在於合法流行庫中的函數的惡意版本
- 使用拼字錯誤的方式搶注軟體包名稱和描述,使其與可信任工具的名稱和描述非常相似。
- 將惡意軟體拆分為看似無害的載入程式和第二階段有效載荷。
- 快速旋轉、移除或偵測到的二級包裝
與該活動相關的第一個已知軟體包「@hash-validator/v2」於 2025 年 9 月上傳。
超越 npm 和惡意軟體演化的擴展
研究人員在數月後發現了此類活動的跡象,證實攻擊者利用傳遞依賴關係在開發者機器上運行惡意程式碼並竊取重要資料。該攻擊活動後來擴展到 Python 套件索引 (Python 套件索引),透過一個名為 scraper-npm 的惡意軟體包進行攻擊,該軟體包於 2026 年 2 月上傳,功能類似。
據報道,該行動的最新版本透過 SSH 建立了持久的遠端訪問,並使用 Rust 編譯的有效載荷從受感染的系統中竊取整個原始程式碼專案和智慧財產權。
從基礎竊取器到多平台威脅
該惡意軟體的早期版本是經過混淆的 JavaScript 竊取程序,它會遞歸地搜尋工作目錄中的 .env 和 .json 文件,然後準備將它們洩露到先前與 Famous Chollima 活動相關的 Vercel 託管網域。
後續版本將 PromptMink 嵌入為一個 Node.js 單一可執行應用程式。然而,這使得有效載荷的大小從大約 5.1KB 增加到近 85MB,降低了傳播效率。為了克服這一限制,據報道攻擊者轉而使用 NAPI-RS,從而允許使用用 Rust 編寫的預編譯 Node.js 插件。
開源供應鏈面臨的風險日益增加
該攻擊活動從最初的簡單資訊竊取程式發展成為 Windows、Linux 和 macOS 的專用多平台惡意軟體家族,顯示其能力顯著提升。其功能現在包括竊取憑證、部署 SSH 後門以及竊取完整的開發項目。
研究人員得出結論,Famous Chollima 將 AI 生成的代碼與分層包裹遞送方法相結合,以逃避檢測並比人類開發人員更有效地操縱自動編碼助手。
