Les meilleures analyses crypto directement dans votre boîte mail.
Les outils de trading de cryptomonnaies menacés par le malware Claude
- Un groupe de cybercriminels a implanté un package npm malveillant dans un projet de trading de cryptomonnaies via un commit généré par l'IA de Claude d'Anthropic.
- Le logiciel malveillant vole lesdentdes portefeuilles de cryptomonnaies et les secrets du système en utilisant une stratégie de package à deux couches.
- Les développeurs utilisant des agents d'IA pour écrire du code doivent examiner manuellement tous les commits qui ajoutent de nouvelles dépendances.
Un projet open source de trading de cryptomonnaies a été infecté par un package npm malveillant nommé @validate-sdk/v2, suite à son installation comme dépendance dans le modèle d'IA Claude Opus d'Anthropic. Cette infection a permis à des pirates d'accéder aux portefeuilles et aux fonds des utilisateurs.
Des chercheurs en sécurité de ReversingLabs (RL) ont découvert une faille dans le projet openpaw-graveyard, un agent de trading de cryptomonnaies autonome hébergé sur npm. Ils l'ont baptisé PromptMink.
Le commit malveillant a été effectué le 28 février 2026. ReversingLabs indique que le package prétend être un outil de vérification de données, mais qu'en réalité, il vole des secrets de l'environnement hôte.
Des pirates informatiques nord-coréens liés au logiciel malveillant PromptMink
ReversingLabs a indiqué que l'attaque provenait de Famous Chollima, un groupe terroriste parrainé par l'État nord-coréen.
Ce groupe diffuse des paquets npm malveillants depuis au moins septembre 2025. Ils ont perfectionné une stratégie à deux niveaux destinée à tromper à la fois les développeurs humains et les assistants de programmation IA.
La première couche est composée de paquets ne contenant aucun code malveillant. Ces paquets « appâts », comme @solana-launchpad/sdk et @meme-sdk/trade, ressemblent à de véritables outils pour les développeurs de cryptomonnaies.
Ils listent quelques paquets de deuxième couche qui transportent la charge utile proprement dite, ainsi que des paquets npm populaires comme axios et bn.js en tant que dépendances.
Lorsque les paquets de deuxième niveau sont signalés et retirés de npm, les attaquants en installent simplement un nouveau sans perdre la réputation qu'ils se sont forgée autour des paquets pièges.
ReversingLabs indique que lorsque @hash-validator/v2 a été retiré de npm, les attaquants ont publié @validate-sdk/v2 le même jour avec le même numéro de version et le même code source.
Les agents d'IA sont plus vulnérables au piratage que les humains
Des chercheurs en sécurité ont indiqué que la méthode de Famous Chollima semble plus adaptée à l'exploitation des assistants de programmation IA qu'à celle des développeurs humains. Le groupe rédige une documentation longue et détaillée pour ses packages malveillants, que les chercheurs qualifient d'« abus d'optimisation LLM »
L'objectif est de rendre les paquets suffisamment réalistes pour que les agents d'IA les suggèrent et les installent sans problème. Les paquets infectés ont été «vibe » par des outils d'IA génératifs. Des réponses LLM résiduelles sont visibles dans les commentaires du fichier.
Depuis fin 2025, le logiciel malveillant PromptMink a pris de nombreuses formes différentes.
Selon ReversingLabs, tout a commencé par un simple voleur d'informations JavaScript, puis s'est transformé en applications mono-exécutables de grande envergure, et se présente désormais sous forme de charges utiles Rust compilées conçues pour être furtives.
Une fois installé, le logiciel malveillant recherche les fichiers de configuration liés aux cryptomonnaies, vole lesdentde portefeuille et les informations système, compresse et s'envoie le code source du projet, et dépose des clés SSH sur les machines Linux et Windows afin de pouvoir y accéder à distance en permanence.
La campagne PromptMink n'est pas la seule attaque récente ciblant les développeurs de cryptomonnaies via les gestionnaires de paquets.
Le mois dernier, Cryptopolitan a signalé l'existence de GhostClaw, un logiciel malveillant qui ciblait la communauté OpenClaw via un faux installateur npm. Ce logiciel a permis de collecter les données de portefeuilles cryptographiques, les mots de passe du Trousseau d'accès macOS et les jetons d'API de la plateforme d'IA de 178 développeurs avant d'être retiré du registre npm.
PromptMink et GhostClaw utilisent l'ingénierie sociale comme point d'entrée et ciblent les développeurs travaillant dans les domaines de la crypto et du Web3. La particularité de PromptMink réside dans le fait qu'il cible les agents de programmation d'IA et les utilise comme vecteur d'attaque.
Si vous lisez ceci, vous avez déjà une longueur d'avance. Restez-y grâce à notre newsletter.
FAQ
Qu'est-ce que PromptMink ?
PromptMink est une campagne de logiciels malveillants dans laquelle un package npm malveillant, déguisé en outil de validation de données, vole lesdentde portefeuilles de cryptomonnaies et d'autres secrets du système.
Qui est à l'origine de l'attaque PromptMink ?
Le groupe à l'origine de l'attaque PromptMink est Famous Chollima, un groupe terroriste parrainé par un État et lié à la Corée du Nord.
Comment ce logiciel malveillant s'est-il retrouvé dans ce projet de trading de cryptomonnaies ?
Le paquet @validate-sdk/v2 a été ajouté comme dépendance via un commit au projet openpaw-graveyard, co-écrit par le modèle d'IA Claude Opus d'Anthropic. Ce dernier a été trompé par la documentation mensongère des attaquants, qui l'ont incité à recommander ce paquet.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
Randa Moses
Randa Moses est rédactrice et journaliste chez Cryptopolitan où elle couvre les technologies, l'intelligence artificielle, la robotique, les cryptomonnaies, les arnaques et le piratage informatique. Elle travaille dans le secteur des cryptomonnaies depuis 2017 et a notamment travaillé chez Forward Protocol, AmaZix et Cryptosomniac. Randa est diplômée en génie électrique ettronde l'Université de Bradford.
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)