Розробники криптовалют стикаються з новою загрозою від шкідливого програмного забезпечення на основі Claude

Проект з відкритим кодом для криптотрейдингу отримав зловмисний пакет npm під назвою @validate-sdk/v2 після того, як модель штучного інтелекту Anthropic’s Claude Opus зробила його залежністю. Це дало хакерам доступ до криптогаманців та коштів користувачів.

Дослідники з безпеки з ReversingLabs (RL) виявили злом у проекті openpaw-graveyard, який є автономним агентом для криптотрейдингу, розміщеним на npm. Вони назвали його PromptMink.

Поганий коміт був зроблений 28 лютого 2026 року. ReversingLabs повідомляє, що пакет імітує інструмент для перевірки даних, але насправді краде секрети з оточення хоста.

Північнокорейські хакери, пов’язані з malware PromptMink

ReversingLabs заявляє, що атака походить від Famous Chollima, групи загроз, підтримуваної урядом Північної Кореї.

Ця група поширює зловмисні пакети npm щонайменше з вересня 2025 року. Вони вдосконалюють двошарову стратегію, яка має на меті обдурити як людських розробників, так і AI-асистентів кодування.

Перший шар складається з пакетів, які не містять зловмисного коду. Ці «приманки», такі як @solana-launchpad/sdk та @meme-sdk/trade, здаються справжніми інструментами для криптодевелоперів.

Вони перераховують кілька пакетів другого шару, які містять справжнє шкідливе навантаження, разом із популярними пакетами npm, такими як axios і bn.js, як залежності.

Коли пакети другого шару повідомляються та видаляються з npm, зловмисники просто додають новий без втрати репутації, яку вони побудували навколо пакетів-приманок.

ReversingLabs повідомляє, що коли @hash-validator/v2 було видалено з npm, зловмисники того ж дня випустили @validate-sdk/v2 з тим самим номером версії та вихідним кодом.

Штучні агенти більш вразливі до зломів, ніж люди

Дослідники безпеки заявляють, що метод Famous Chollima здається більш пристосованим для використання AI-асистентів кодування, ніж для людських розробників. Група пише довгу, детальну документацію для своїх зловмисних пакетів, яку дослідники називають «зловживанням оптимізацією LLM».

Мета — зробити пакети настільки реалістичними, щоб AI-агенти пропонували та встановлювали їх без проблем. Інфіковані пакети були «вібраційно закодовані» за допомогою генеративних інструментів AI. Залишки відповідей LLM видно у коментарях до файлів.

З кінця 2025 року malware PromptMink набув різних форм.

Спочатку він був простим JavaScript-інфостілеером, потім виріс у великі однокомпонентні застосунки, а тепер з’являється у вигляді скомпільованих Rust-пayloads, створених для приховування, за даними ReversingLabs.

Коли зловмисне програмне забезпечення встановлюється, воно шукає конфігураційні файли, пов’язані з криптою, краде дані гаманців і системну інформацію, стискає та надсилає вихідний код проекту назад собі, а також залишає SSH-ключі на Linux і Windows, щоб мати до них постійний доступ.

Кампанія PromptMink — не єдина недавня атака, спрямована на криптодевелоперів через менеджери пакетів.

Минулого місяця Cryptopolitan повідомляв про GhostClaw — malware, який націлювався на спільноту OpenClaw через фальшивий інсталятор npm. Він збирав дані криптогаманців, паролі з Keychain macOS та API-токени платформ штучного інтелекту від 178 розробників перед видаленням з реєстру npm.

PromptMink і GhostClaw використовують соціальну інженерію як точку входу і націлюються на розробників, що працюють у крипто та Web3. Що робить PromptMink особливим, — це його цільова орієнтація на AI-агентів кодування і використання їх як шляху атаки.

Найрозумніші криптознавці вже читають наші розсилки. Хочете приєднатися? Приєднуйтесь до них.