Um projeto de negociação de criptomoedas de código aberto recebeu um pacote npm malicioso chamado @validate-sdk/v2 depois que o modelo de IA Claude Opus da Anthropic o tornou uma dependência. Isso deu aos hackers acesso às carteiras e fundos de criptomoedas dos usuários.
Pesquisadores de segurança da ReversingLabs (RL) descobriram a brecha no projeto openpaw-graveyard, um agente autônomo de negociação de criptomoedas hospedado no npm. Eles o chamaram de PromptMink.
O commit malicioso foi feito em 28 de fevereiro de 2026. A ReversingLabs afirma que o pacote se apresenta como uma ferramenta para verificar dados, mas na verdade rouba segredos do ambiente hospedeiro.
Hackers norte-coreanos ligados ao malware PromptMink
A ReversingLabs afirmou que o ataque partiu do Famous Chollima, um grupo de ameaças cibernéticas patrocinado pelo Estado norte-coreano.
O grupo vem disseminando pacotes npm maliciosos desde pelo menos setembro de 2025. Eles vêm aprimorando uma estratégia de duas camadas destinada a enganar tanto desenvolvedores humanos quanto assistentes de programação com inteligência artificial.
A primeira camada é composta por pacotes que não contêm nenhum código malicioso. Esses pacotes "isca", como @solana-launchpad/sdk e @meme-sdk/trade, parecem ferramentas reais para desenvolvedores de criptomoedas.
Eles listam alguns pacotes de segunda camada que carregam a carga útil propriamente dita, juntamente com pacotes populares do npm, como axios e bn.js, como dependências.
Quando os pacotes da segunda camada são denunciados e removidos do npm, os atacantes simplesmente instalam um novo sem perder a reputação que construíram em torno dos pacotes de isca.
A ReversingLabs afirma que, quando o pacote @hash-validator/v2 foi removido do npm, os atacantes lançaram o pacote @validate-sdk/v2 no mesmo dia, com o mesmo número de versão e código-fonte.
Agentes de IA são mais suscetíveis a ataques cibernéticos do que humanos
Pesquisadores de segurança afirmaram que o método do Famous Chollima parece mais adequado para explorar assistentes de programação de IA do que desenvolvedores humanos. O grupo escreve documentação longa e detalhada para seus pacotes maliciosos, que os pesquisadores chamam de "abuso de otimização LLM"
O objetivo é fazer com que os pacotes pareçam suficientemente reais para que os agentes de IA os sugiram e instalem sem problemas. Os pacotes infectados foram "vibe" por ferramentas generativas de IA. Respostas residuais do LLM são visíveis nos comentários dos arquivos.
Desde o final de 2025, o malware PromptMink assumiu muitas formas diferentes.
Começou como um simples programa em JavaScript para roubar informações, depois evoluiu para grandes aplicações executáveis únicas e agora vem como payloads compilados em Rust, projetados para serem furtivos, de acordo com a ReversingLabs.
Após a instalação, o malware procura arquivos de configuração relacionados a criptomoedas, roubadentde carteiras e informações do sistema, compacta e envia o código-fonte do projeto para si mesmo e instala chaves SSH em máquinas Linux e Windows para poder acessá-las remotamente.
A campanha PromptMink não é o único ataque recente direcionado a desenvolvedores de criptomoedas por meio de gerenciadores de pacotes.
No mês passado, Cryptopolitan noticiou o GhostClaw, um malware que tinha como alvo a comunidade OpenClaw por meio de um instalador falso do npm. Ele coletou dados de carteiras de criptomoedas, senhas do Keychain do macOS e tokens de API de plataformas de IA de 178 desenvolvedores antes de ser removido do registro do npm.
PromptMink e GhostClaw usam engenharia social como ponto de entrada e têm como alvo desenvolvedores que trabalham com criptografia e Web3. O que diferencia o PromptMink é que ele visa agentes de programação de IA e os utiliza como caminho de ataque.
