KI-gesteuerte PromptMink-Malware-Kampagne
Cybersicherheitsforscher haben Schadcode in einem npm-Paket entdeckt, nachdem eine schädliche Abhängigkeit durch Code, der vom großen Sprachmodell Claude Opus (LLM) von Anthropic mitentwickelt wurde, in ein Projekt eingeschleust worden war. Die Entdeckung verdeutlicht, wie sich Bedrohungen in der Software-Lieferkette durch den Missbrauch KI-gestützter Entwicklungsprozesse weiterentwickeln.
Das im Zentrum der Kampagne stehende Paket „@validate-sdk/v2“ wurde auf npm als Software Development Kit (SDK) für Hashing, Validierung, Kodierung und Dekodierung sowie sichere Zufallszahlengenerierung präsentiert. Tatsächlich war es jedoch darauf ausgelegt, sensible Daten aus kompromittierten Systemen zu stehlen. Ermittler stellten Hinweise darauf fest, dass das Paket möglicherweise mithilfe generativer KI „Vibe-codiert“ wurde. Es wurde erstmals im Oktober 2025 auf npm hochgeladen.
Inhaltsverzeichnis
PromptMink steht in Verbindung mit nordkoreanischen Bedrohungsaktivitäten
Forscher haben die Kampagne PromptMink genannt und vermuten eine Verbindung zum nordkoreanischen Akteur Famous Chollima, auch bekannt als Shifty Corsair. Diese Gruppe wurde bereits mit der langjährigen Operation „Contagious Interview“ und betrügerischen IT-Mitarbeiter-Maschen in Verbindung gebracht.
Die Kampagne verdeutlicht den anhaltenden Fokus auf das Open-Source-Ökosystem, insbesondere auf Umgebungen, die mit Kryptowährungen und der Web3-Entwicklung verbunden sind.
KI-gemeinsam verfasste Commit-Funktion führte zu gefährlicher Abhängigkeit
Das Schadprogramm wurde am 28. Februar durch einen Commit in das Repository eines autonomen Handelsagenten eingeschleust. Dieser Commit wurde Berichten zufolge vom Claude-Opus-Modell von Anthropic mitverfasst. Nach der Einschleusung ermöglichte das Schadprogramm Angreifern den Zugriff auf Kryptowährungs-Wallets und den Diebstahl von Guthaben.
Die Abhängigkeitskette durchlief mehrere Pakete. '@validate-sdk/v2' war in '@solana-launchpad/sdk' aufgeführt, welches wiederum von einem dritten Paket namens openpaw-graveyard verwendet wurde. Dieses Paket wurde als autonomer KI-Agent beschrieben, der in der Lage ist, mithilfe des Tapestry-Protokolls eine soziale On-Chain-Identität auf der Solana-Blockchain aufzubauen, Kryptowährungen über Bankr zu handeln und mit anderen Agenten auf Moltbook zu interagieren.
Durch einen Commit im Februar 2026 wurde die fehlerhafte Abhängigkeit hinzugefügt, was zur Ausführung von Schadcode und zum Auslesen von Zugangsdaten führte, wodurch Wallet-Vermögenswerte offengelegt werden konnten.
Eine mehrschichtige Infektionsstrategie, die darauf abzielt, einer Entdeckung zu entgehen.
Die Angreifer nutzten eine gestaffelte Paketstruktur. Die ersten Pakete wirkten sauber und enthielten keinen offensichtlichen Schadcode. Stattdessen importierten sie sekundäre Pakete, in denen die eigentliche schädliche Funktionalität verborgen war. Wurde ein schädliches sekundäres Paket entdeckt oder entfernt, wurde es umgehend ersetzt.
Zu den im Rahmen der Kampagne identifizierten Erstschichtpaketen gehörten unter anderem:
@solana-launchpad/sdk
@meme-sdk/trade
@validate-ethereum-address/core
@solmasterv3/solana-metadata-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk
Diese Pakete gaben vor, Funktionen im Zusammenhang mit Kryptowährungen bereitzustellen und enthielten viele vertrauenswürdige Abhängigkeiten wie axios und bn.js, wodurch sie legitim erschienen. Unter diesen vertrauenswürdigen Bibliotheken verbargen sich jedoch einige wenige schädliche Abhängigkeiten.
Von den Angreifern angewandte Tarntechniken
Die Bedrohungsakteure nutzten verschiedene Methoden, um Misstrauen zu mindern und ihre Persistenz zu verbessern:
- Erstellung bösartiger Versionen von Funktionen, die bereits in legitimen, gängigen Bibliotheken vorhanden sind
- Verwendung von Typosquatting-Paketnamen und -Beschreibungen, die vertrauenswürdigen Tools stark ähnelten.
- Die Malware wird in einen harmlos aussehenden Loader und eine Nutzlast zweiter Stufe aufgeteilt.
- Schnell rotierende, entfernte oder erkannte Sekundärverpackungen
Das erste bekannte Paket im Zusammenhang mit der Kampagne, '@hash-validator/v2', wurde im September 2025 hochgeladen.
Erweiterung über npm und Malware-Evolution hinaus
Monate später stellten Forscher Anzeichen dieser Aktivitäten fest und bestätigten die Verwendung transitiver Abhängigkeiten, um Schadcode auf Entwicklerrechnern auszuführen und wertvolle Daten zu stehlen. Die Kampagne weitete sich später auf den Python Package Index aus, indem im Februar 2026 ein schädliches Paket namens scraper-npm mit ähnlicher Funktionalität hochgeladen wurde.
Neuere Versionen der Operation sollen sich Berichten zufolge über SSH einen dauerhaften Fernzugriff verschafft und mit Rust kompilierte Payloads verwendet haben, um ganze Quellcodeprojekte und geistiges Eigentum von infizierten Systemen zu stehlen.
Vom einfachen Datendieb zur plattformübergreifenden Bedrohung
Frühe Versionen der Malware waren verschleierte JavaScript-Stealer, die rekursiv Arbeitsverzeichnisse nach .env- und .json-Dateien durchsuchten, bevor sie diese für die Exfiltration an eine von Vercel gehostete Domain vorbereiteten, die zuvor mit Aktivitäten von Famous Chollima in Verbindung gebracht worden war.
Spätere Versionen betteten PromptMink als einzelne ausführbare Node.js-Anwendung ein. Dies erhöhte jedoch die Nutzdatengröße von etwa 5,1 KB auf fast 85 MB, was die Übertragung ineffizienter machte. Um diese Einschränkung zu umgehen, wechselten Angreifer Berichten zufolge zu NAPI-RS, wodurch vorkompilierte Node.js-Add-ons in Rust möglich wurden.
Wachsendes Risiko für die Open-Source-Lieferkette
Die Entwicklung der Kampagne von einem einfachen Datendiebstahl hin zu einer spezialisierten, plattformübergreifenden Malware-Familie, die Windows, Linux und macOS angreift, zeigt eine deutliche Steigerung ihrer Fähigkeiten. Zu ihren Funktionen gehören nun der Diebstahl von Zugangsdaten, die Installation von SSH-Backdoors und der Diebstahl kompletter Entwicklungsprojekte.
Die Forscher kamen zu dem Schluss, dass Famous Chollima KI-generierten Code mit mehrschichtigen Paketübermittlungsmethoden kombiniert, um der Entdeckung zu entgehen und automatisierte Codierungsassistenten effektiver zu manipulieren als menschliche Entwickler.
