Le migliori analisi sul mondo delle criptovalute, direttamente nella tua casella di posta.
Gli strumenti di trading di criptovalute sono minacciati dal malware Claude
- Un gruppo di hacker ha inserito un pacchetto npm dannoso in un progetto di trading di criptovalute tramite un commit generato dall'intelligenza artificiale di Claude di Anthropic.
- Il malware ruba ledentdei portafogli di criptovalute e i segreti di sistema utilizzando una strategia di pacchettizzazione a due livelli.
- Gli sviluppatori che utilizzano agenti di intelligenza artificiale per scrivere codice dovrebbero rivedere manualmente ogni commit che aggiunge nuove dipendenze.
Un progetto open-source per il trading di criptovalute ha ricevuto un pacchetto npm dannoso chiamato @validate-sdk/v2 dopo che il modello di intelligenza artificiale Claude Opus di Anthropic lo ha reso una dipendenza. Ciò ha consentito agli hacker di accedere ai portafogli e ai fondi in criptovalute degli utenti.
I ricercatori di sicurezza di ReversingLabs (RL) hanno scoperto la falla nel progetto openpaw-graveyard, un agente di trading di criptovalute autonomo ospitato su npm. Lo hanno chiamato PromptMink.
L'errore è stato commesso il 28 febbraio 2026. ReversingLabs afferma che il pacchetto si presenta come uno strumento per il controllo dei dati, ma in realtà ruba informazioni riservate dall'ambiente host.
Hacker nordcoreani collegati al malware PromptMink
ReversingLabs ha affermato che l'attacco proveniva da Famous Chollima, un gruppo terroristico sponsorizzato dallo stato nordcoreano.
Il gruppo diffonde pacchetti npm dannosi almeno dal settembre 2025. Hanno perfezionato una strategia a due livelli progettata per ingannare sia gli sviluppatori umani che gli assistenti di programmazione basati sull'intelligenza artificiale.
Il primo strato è costituito da pacchetti che non contengono codice dannoso. Questi pacchetti "esca", come @solana-launchpad/sdk e @meme-sdk/trade, sembrano veri e propri strumenti per gli sviluppatori di criptovalute.
Vengono elencati alcuni pacchetti di secondo livello che contengono il payload vero e proprio, insieme a pacchetti npm popolari come axios e bn.js come dipendenze.
Quando i pacchetti di secondo livello vengono segnalati e rimossi da npm, gli aggressori ne inseriscono semplicemente di nuovi senza perdere la reputazione che si sono costruiti attorno ai pacchetti esca.
ReversingLabs afferma che, quando @hash-validator/v2 è stato rimosso da npm, gli hacker hanno rilasciato @validate-sdk/v2 lo stesso giorno con lo stesso numero di versione e lo stesso codice sorgente.
Gli agenti di intelligenza artificiale sono più vulnerabili agli attacchi informatici rispetto agli esseri umani
Secondo i ricercatori di sicurezza, il metodo di Famous Chollima sembra più adatto a sfruttare gli assistenti di programmazione basati sull'intelligenza artificiale che gli sviluppatori umani. Il gruppo redige una documentazione lunga e dettagliata per i suoi pacchetti dannosi, che i ricercatori definiscono "abuso dell'ottimizzazione LLM"
L'obiettivo è rendere i pacchetti sufficientemente realistici da indurre gli agenti di intelligenza artificiale a suggerirli e installarli senza problemi. I pacchetti infetti sono stati "vibe" tramite strumenti di intelligenza artificiale generativa. Le risposte LLM residue sono visibili nei commenti del file.
Dalla fine del 2025, il malware PromptMink ha assunto molte forme diverse.
È nato come un semplice infostealer in JavaScript, poi si è evoluto in grandi applicazioni a singolo eseguibile e ora si presenta come payload Rust compilati, progettati per essere invisibili, secondo ReversingLabs.
Una volta installato, il malware cerca file di configurazione relativi alle criptovalute, ruba ledentdel portafoglio e le informazioni di sistema, comprime e invia a se stesso il codice sorgente del progetto e rilascia chiavi SSH su macchine Linux e Windows in modo da potervi accedere da remoto in qualsiasi momento.
La campagna PromptMink non è l'unico attacco recente che prende di mira gli sviluppatori di criptovalute tramite i gestori di pacchetti.
Il mese scorso, Cryptopolitan ha segnalato GhostClaw, un malware che ha preso di mira la community di OpenClaw tramite un falso programma di installazione npm. Ha raccolto dati di portafogli di criptovalute, password del Portachiavi macOS e token API di piattaforme di intelligenza artificiale da 178 sviluppatori prima di essere rimosso dal registro npm.
PromptMink e GhostClaw utilizzano l'ingegneria sociale come punto di ingresso e prendono di mira gli sviluppatori che lavorano nel settore delle criptovalute e del Web3. La differenza principale di PromptMink sta nel fatto che si concentra sugli agenti di programmazione basati sull'intelligenza artificiale, utilizzandoli come strumento di attacco.
Se stai leggendo questo, sei già un passo avanti. Rimani al passo con i tempi iscrivendoti alla nostra newsletter.
Domande frequenti
Cos'è PromptMink?
PromptMink è una campagna malware in cui un pacchetto npm dannoso, camuffato da strumento di convalida dei dati, ruba ledentdei portafogli di criptovalute e altri segreti di sistema.
Chi si cela dietro l'attacco a PromptMink?
Il gruppo responsabile dell'attacco a PromptMink è Famous Chollima, un gruppo terroristico sponsorizzato dallo stato e legato alla Corea del Nord.
Come ha fatto il pacchetto dannoso a finire nel progetto di trading di criptovalute?
Il pacchetto @validate-sdk/v2 è stato aggiunto come dipendenza tramite un commit al progetto openpaw-graveyard, di cui è stato coautore il modello di intelligenza artificiale Claude Opus di Anthropic. Gli hacker sono stati indotti a raccomandare il pacchetto tramite una documentazione ingannevole.
Disclaimer. Le informazioni fornite non costituiscono consulenza di trading. Cryptopolitan/ non si assume alcuna responsabilità per gli investimenti effettuati sulla base delle informazioni fornite in questa pagina. Consigliamotronvivamente di effettuare ricerche indipendentident di consultare un professionista qualificato prima di prendere qualsiasi decisione di investimento.
Randa Moses
Randa Moses è redattrice e reporter presso Cryptopolitan dove si occupa di tecnologia, intelligenza artificiale, robotica, criptovalute, truffe e attacchi hacker. Lavora nel settore delle criptovalute dal 2017 e ha ricoperto ruoli presso Forward Protocol, AmaZix e Cryptosomniac. Randa ha conseguito una laurea in Ingegneria Elettrica edtronpresso l'Università di Bradford.
- Quali criptovalute possono farti guadagnare
- Come rafforzare la sicurezza del tuo portafoglio digitale (e quali sono quelli davvero validi)
- Strategie di investimento poco conosciute utilizzate dai professionisti
- Come iniziare a investire in criptovalute (quali piattaforme di scambio utilizzare, le migliori criptovalute da acquistare, ecc.)