В проект с открытым исходным кодом для торговли криптовалютой был добавлен вредоносный npm-пакет под названием @validate-sdk/v2 после того, как модель искусственного интеллекта Claude Opus от Anthropic добавила его в качестве зависимости. Это дало хакерам доступ к криптовалютным кошелькам и средствам пользователей.
Специалисты по безопасности из ReversingLabs (RL) обнаружили уязвимость в проекте openpaw-graveyard, представляющем собой автономный агент для торговли криптовалютой, размещенный на npm. Они назвали его PromptMink.
Некорректный коммит был сделан 28 февраля 2026 года. ReversingLabs утверждает, что пакет позиционируется как инструмент для проверки данных, но на самом деле крадет секреты из среды выполнения.
Северокорейские хакеры причастны к вредоносной программе PromptMink
Компания ReversingLabs сообщила , что атака была совершена группировкой Famous Chollima, спонсируемой северокорейским государством и занимающейся киберпреступностью.
Эта группа распространяет вредоносные npm-пакеты как минимум с сентября 2025 года. Они совершенствуют двухуровневую стратегию, призванную обмануть как разработчиков-людей, так и ИИ-помощников в программировании.
Первый слой состоит из пакетов, не содержащих вредоносного кода. Эти «приманки», такие как @solana-launchpad/sdk и @meme-sdk/trade, выглядят как настоящие инструменты для крипторазработчиков.
Они перечисляют несколько пакетов второго уровня, содержащих фактическую полезную нагрузку, а также популярные пакеты npm, такие как axios и bn.js, в качестве зависимостей.
Когда пакеты второго уровня обнаруживаются и удаляются из npm, злоумышленники просто устанавливают новые, не теряя при этом репутацию, которую они создали благодаря этим пакетам-приманкам.
По данным ReversingLabs, после удаления @hash-validator/v2 из npm злоумышленники в тот же день выпустили @validate-sdk/v2 с тем же номером версии и исходным кодом.
Искусственный интеллект более уязвим для взломов, чем люди
Исследователи в области безопасности заявили, что метод Famous Chollima, по-видимому, больше подходит для использования преимуществ программистов-ассистентов на основе ИИ, чем для разработчиков-людей. Группа пишет длинные, подробные документы для своих вредоносных пакетов, которые исследователи называют «злоупотреблением оптимизацией LLM»
Цель состоит в том, чтобы сделать пакеты достаточно реалистичными, чтобы агенты ИИ могли предлагать и устанавливать их без каких-либо проблем. Заражённые пакеты были «vibeзакодированы» с помощью инструментов генеративного ИИ. Остаточные ответы LLM видны в комментариях к файлам.
Начиная с конца 2025 года, вредоносная программа PromptMink приняла множество различных форм.
Начиналось все с простого JavaScript-инструмента для кражи информации, затем он разросся до больших приложений, запускаемых одним исполняемым файлом, а теперь, по данным ReversingLabs, распространяется в виде скомпилированных полезных нагрузок на Rust, созданных для скрытного использования.
После установки вредоносная программа ищет конфигурационные файлы, связанные с криптографией, крадетdentданные кошелька и системную информацию, сжимает и отправляет себе исходный код проекта, а также размещает SSH-ключи на машинах под управлением Linux и Windows, чтобы иметь к ним постоянный удаленный доступ.
Кампания PromptMink — не единственная недавняя атака, направленная на разработчиков криптографических приложений через менеджеры пакетов.
В прошлом месяце Cryptopolitan сообщила о GhostClaw, вредоносной программе, которая атаковала сообщество OpenClaw с помощью поддельного установщика npm. Она собрала данные криптокошельков, пароли от Keychain в macOS и токены API платформ искусственного интеллекта у 178 разработчиков, после чего была удалена из реестра npm.
PromptMink и GhostClaw используют социальную инженерию в качестве точки входа и нацелены на разработчиков, работающих в сфере криптовалют и Web3. Отличие PromptMink заключается в том, что он нацелен на агентов ИИ-кодирования и использует их в качестве пути атаки.
