Ein Open-Source-Kryptohandelsprojekt erhielt ein schädliches npm-Paket namens @validate-sdk/v2, nachdem das KI-Modell Claude Opus von Anthropic dieses als Abhängigkeit hinzugefügt hatte. Dadurch erhielten Hacker Zugriff auf die Krypto-Wallets und -Guthaben der Nutzer.
Sicherheitsforscher von ReversingLabs (RL) entdeckten die Sicherheitslücke im Projekt openpaw-graveyard, einem autonomen Krypto-Handelsagenten, der auf npm gehostet wird. Sie nannten ihn PromptMink.
Der fehlerhafte Commit erfolgte am 28. Februar 2026. ReversingLabs gibt an, dass das Paket vorgibt, ein Tool zur Datenprüfung zu sein, in Wirklichkeit aber Geheimnisse aus der Host-Umgebung stiehlt.
Nordkoreanische Hacker mit PromptMink-Malware in Verbindung gebracht
ReversingLabs gab an , dass der Angriff von Famous Chollima, einer nordkoreanischen, staatlich geförderten Bedrohungsgruppe, ausging.
Die Gruppe verbreitet seit mindestens September 2025 bösartige npm-Pakete. Sie hat eine zweischichtige Strategie verbessert, die sowohl menschliche Entwickler als auch KI-Programmierassistenten täuschen soll.
Die erste Ebene besteht aus Paketen, die keinen Schadcode enthalten. Diese „Köder“-Pakete, wie beispielsweise @solana-launchpad/sdk und @meme-sdk/trade, wirken wie echte Werkzeuge für Krypto-Entwickler.
Sie listen einige Second-Layer-Pakete auf, die die eigentliche Nutzlast enthalten, sowie beliebte npm-Pakete wie axios und bn.js als Abhängigkeiten.
Wenn die Second-Layer-Pakete gemeldet und von npm entfernt werden, fügen die Angreifer einfach ein neues hinzu, ohne den Ruf zu verlieren, den sie sich mit den Köderpaketen aufgebaut haben.
ReversingLabs berichtet, dass die Angreifer, nachdem @hash-validator/v2 von npm entfernt worden war, am selben Tag @validate-sdk/v2 mit derselben Versionsnummer und demselben Quellcode veröffentlichten.
KI-Agenten sind anfälliger für Hackerangriffe als Menschen
Sicherheitsforscher gaben an, dass die Methode von Famous Chollima eher darauf ausgelegt zu sein scheint, KI-Programmierassistenten als menschliche Entwickler auszunutzen. Die Gruppe erstellt lange, detaillierte Dokumentationen für ihre Schadsoftwarepakete, was Forscher als „Missbrauch der LLM-Optimierung“ bezeichnen
Ziel ist es, Pakete so realistisch aussehen zu lassen, dass KI-Agenten sie problemlos vorschlagen und installieren. Die infizierten Pakete wurden mithilfe generativer KI-Tools „vibe-codiert“. Überbleibsel von LLM-Antworten sind in den Dateikommentaren sichtbar.
Seit Ende 2025 hat die PromptMink-Malware viele verschiedene Formen angenommen.
Es begann als einfacher JavaScript-Infostealer, entwickelte sich dann zu großen, einzeln ausführbaren Anwendungen und kommt laut ReversingLabs jetzt als kompilierte Rust-Payloads daher, die auf Tarnung ausgelegt sind.
Sobald die Malware installiert ist, sucht sie nach Konfigurationsdateien im Zusammenhang mit Kryptografie, stiehlt Wallet-dentund Systeminformationen, komprimiert und sendet den Projektquellcode an sich selbst und legt SSH-Schlüssel auf Linux- und Windows-Rechnern ab, um jederzeit remote darauf zugreifen zu können.
Die PromptMink-Kampagne ist nicht der einzige aktuelle Angriff, der Krypto-Entwickler über Paketmanager ins Visier nimmt.
Letzten Monat Cryptopolitan berichtete über GhostClaw, eine Schadsoftware, die die OpenClaw-Community über einen gefälschten npm-Installer ins Visier nahm. Sie sammelte Krypto-Wallet-Daten, macOS-Schlüsselbundpasswörter und API-Token von KI-Plattformen von 178 Entwicklern, bevor sie aus dem npm-Repository entfernt wurde.
PromptMink und GhostClaw nutzen Social Engineering als Einfallstor und zielen auf Entwickler in den Bereichen Kryptografie und Web3 ab. PromptMink unterscheidet sich dadurch, dass es KI-Programmieragenten ins Visier nimmt und diese als Angriffsweg nutzt.
