一个开源加密货币交易项目在 Anthropic 的 Claude Opus 人工智能模型将其设为依赖项后,收到了一个名为 @validate-sdk/v2 的恶意 npm 包。这使得黑客能够访问用户的加密货币钱包和资金。.
来自 ReversingLabs (RL) 的安全研究人员在 openpaw-graveyard 项目中发现了漏洞,该项目是一个托管在 npm 上的自主加密货币交易代理。他们将其命名为 PromptMink。.
错误提交发生在 2026 年 2 月 28 日。ReversingLabs 表示,该软件包伪装成数据检查工具,但实际上会窃取宿主机环境中的机密信息。.
与 PromptMink 恶意软件有关的朝鲜黑客
ReversingLabs 表示 ,此次攻击来自朝鲜国家支持的威胁组织 Famous Chollima。
该组织至少从 2025 年 9 月起就开始传播恶意 npm 包。他们一直在改进一种双层策略,旨在欺骗人类开发者和人工智能编码助手。.
第一层由不包含任何恶意代码的软件包组成。这些“诱饵”软件包,例如 @solana-launchpad/sdk 和 @meme-sdk/trade,看起来像是加密货币开发者的真正工具。.
他们列出了一些承载实际有效载荷的第二层软件包,以及像 axios 和 bn.js 这样的流行 npm 软件包作为依赖项。.
当第二层软件包被举报并从 npm 上移除后,攻击者只需添加一个新的软件包,而不会失去他们围绕诱饵软件包建立的声誉。.
ReversingLabs 表示,当 @hash-validator/v2 从 npm 上移除时,攻击者在同一天发布了版本号和源代码相同的 @validate-sdk/v2。.
人工智能代理比人类更容易受到黑客攻击。
安全研究人员指出,Famous Chollima 的方法似乎更适合利用人工智能编码助手而非人类开发者。该组织为其恶意软件包编写了冗长而详细的文档,研究人员称之为“LLM 优化滥用”。
目标是使软件包看起来足够真实,以便 人工智能代理 能够毫无问题地推荐并安装它们。这些受感染的软件包是由生成式人工智能工具“vibe”的。残留的LLM响应可以在文件注释中看到。
自 2025 年末以来,PromptMink 恶意软件已经演变成多种不同的形式。.
据 ReversingLabs 称,它最初是一个简单的 JavaScript 信息窃取程序,后来发展成大型的单可执行应用程序,现在则以编译后的 Rust 有效载荷的形式出现,旨在实现隐蔽攻击。.
恶意软件安装后,会查找与加密货币相关的配置文件,窃取钱包dent和系统信息,压缩项目源代码并将其发送给自己,并在 Linux 和 Windows 机器上留下 SSH 密钥,以便随时远程访问这些机器。.
PromptMink 攻击并非近期唯一一起通过软件包管理器针对加密货币开发者的攻击。.
上个月, Cryptopolitan 报道了 GhostClaw,这是一款通过伪造的 npm 安装程序攻击 OpenClaw 社区的恶意软件。在从 npm 注册表中移除之前,它窃取了 178 位开发者的加密钱包数据、macOS 钥匙串密码和 AI 平台 API 令牌。
PromptMink 和 GhostClaw 都利用社会工程学作为攻击切入点,目标是从事加密和 Web3 开发的开发者。PromptMink 的独特之处在于,它针对的是人工智能编码代理,并利用它们作为攻击路径。.
