Un proyecto de código abierto para el comercio de criptomonedas recibió un paquete npm malicioso llamado @validate-sdk/v2 después de que el modelo de IA Claude Opus de Anthropic lo convirtiera en una dependencia. Esto permitió a los hackers acceder a las billeteras y fondos de criptomonedas de los usuarios.
Investigadores de seguridad de ReversingLabs (RL) descubrieron la vulnerabilidad en el proyecto openpaw-graveyard, un agente autónomo de comercio de criptomonedas alojado en npm. Lo denominaron PromptMink.
La modificación maliciosa se realizó el 28 de febrero de 2026. ReversingLabs afirma que el paquete simula ser una herramienta para verificar datos, pero en realidad roba información confidencial del entorno del host.
Hackers norcoreanos vinculados al malware PromptMink
ReversingLabs Según , el ataque provino de Famous Chollima, un grupo terrorista patrocinado por el Estado norcoreano.
El grupo lleva distribuyendo paquetes npm maliciosos desde al menos septiembre de 2025. Han estado perfeccionando una estrategia de dos capas diseñada para engañar tanto a desarrolladores humanos como a asistentes de codificación de IA.
La primera capa está compuesta por paquetes que no contienen código malicioso. Estos paquetes "cebo", como @solana-launchpad/sdk y @meme-sdk/trade, parecen herramientas reales para desarrolladores de criptomonedas.
Enumeran algunos paquetes de segunda capa que contienen la carga útil real, junto con paquetes populares de npm como axios y bn.js como dependencias.
Cuando se denuncian y eliminan de npm los paquetes de segunda capa, los atacantes simplemente colocan uno nuevo sin perder la reputación que han construido en torno a los paquetes señuelo.
Según ReversingLabs, cuando @hash-validator/v2 fue retirado de npm, los atacantes lanzaron @validate-sdk/v2 el mismo día con el mismo número de versión y código fuente.
Los agentes de IA son más susceptibles a los ataques informáticos que los humanos
Investigadores de seguridad afirmaron que el método de Famous Chollima parece más adecuado para aprovecharse de los asistentes de codificación de IA que de los desarrolladores humanos. El grupo elabora documentación extensa y detallada para sus paquetes maliciosos, lo que los investigadores denominan "abuso de optimización LLM"
El objetivo es que los paquetes parezcan lo suficientemente reales como para que los agentes de IA los sugieran e instalen sin problemas. Los paquetes infectados fueronvibemediante herramientas de IA generativa. Las respuestas LLM restantes son visibles en los comentarios del archivo.
Desde finales de 2025, el malware PromptMink ha adoptado muchas formas diferentes.
Comenzó como un simple programa para robar información en JavaScript, luego se convirtió en grandes aplicaciones de un solo ejecutable y ahora se presenta como cargas útiles compiladas en Rust diseñadas para pasar desapercibidas, según ReversingLabs.
Una vez instalado, el malware busca archivos de configuración relacionados con criptomonedas, robadentde monederos e información del sistema, comprime y se envía el código fuente del proyecto a sí mismo, y coloca claves SSH en máquinas Linux y Windows para poder acceder a ellas de forma remota en todo momento.
La campaña PromptMink no es el único ataque reciente dirigido a desarrolladores de criptomonedas a través de gestores de paquetes.
El mes pasado, Cryptopolitan informó sobre GhostClaw, un malware que atacó a la comunidad de OpenClaw mediante un instalador falso de npm. Recopiló datos de billeteras de criptomonedas, contraseñas del llavero de macOS y tokens de la API de la plataforma de IA de 178 desarrolladores antes de ser eliminado del registro de npm.
PromptMink y GhostClaw utilizan la ingeniería social como punto de entrada y tienen como objetivo a desarrolladores que trabajan en criptografía y Web3. Lo que diferencia a PromptMink es que se dirige a agentes de codificación de IA y los utiliza como vía de ataque.
