- Hackers norte-coreanos do grupo Famous Chollima teriam usado o Claude Opus para co-assinar um commit que introduziu no npm o pacote @validate-sdk/v2, apresentado como ferramenta de hashing, validação e codificação, mas que visava obter credenciais.
- O pacote, publicado em outubro de 2025, foi usado para comprometer um agente autônomo de negociação de criptomoedas chamado openpaw-graveyard, incorporando a dependência maliciosa.
- Após o download, o aplicativo instala o Client-App e carrega o stealer por meio de scripts batch e PowerShell, passando a registrar teclas, capturar screenshots e monitorar o clipboard.
- A campanha usa várias camadas: pacotes da primeira camada parecem legítimos, importando a segunda camada onde o malware reside; também emprega Vercel como infraestrutura de comando e controle e typosquatting na biblioteca big.js.
- Além disso, o grupo trabalha com campanhas como graphalgo, criando empresas falsas para recrutamento; o payload evoluiu para executável Node.js (SEA) com backdoors e exfiltração de projetos inteiros, ampliando a ameaça à cadeia de suprimentos de software.
Researchers de segurança identificaram mais um pacote malicioso no npm, inserido em um projeto open source via commit co-assinado pelo modelo de linguagem Claude Opus, da Anthropic. O pacote busca credenciais de carteiras de criptomoedas.
Chamado @validate-sdk/v2, o pacote era apresentado como SDK para hashing, validação, codificação e geração de números aleatórios. Na prática, funcionava como veículo para vasculhar o ambiente e coletar segredos sensíveis.
O ataque, batizado de PromptMink, é atribuído ao grupo norte-coreano Famous Chollima. A campanha usa o modelo Claude Opus para auxiliar a geração de código com dependências maliciosas.
Como o ataque foi descoberto
Em 28 de fevereiro de 2026, o pacote malicioso foi acrescentado como dependência de um agente autônomo de negociação de criptomoedas chamado openpaw-graveyard. O commit foi co-assinado pelo Claude Opus.
Essa ação sugere que o modelo gerou ou sugeriu código contendo a dependência infectada, explorando a confiança em pacotes npm considerados legítimos. A técnica dificulta a detecção por parte de usuários.
Após a instalação, o aplicativo carrega um software malicioso local denominado Client-App, que executa scripts em batch e PowerShell para instalar o malware. Em seguida, registra teclas, tira capturas de tela e monitora o clipboard.
Estrutura em camadas e evasão
O ataque utiliza várias camadas: pacotes iniciais transparentes, como @solana-launchpad/sdk, importam componentes de uma segunda camada que abriga o malware real. Se a primeira camada é removida, os operadores substituem rapidamente os pacotes.
As primeiras versões eram stealers em JavaScript, com exfiltração de dados para uma URL hospedada na Vercel. Evoluíram para um executável Node.js (SEA), aumentando o payload para cerca de 85 MB.
Avanços recentes e contexto
O grupo Famous Chollima atua no ecossistema open source há anos, mirando desenvolvedores de Web3 e criptomoedas via técnicas de engenharia social e ataques à cadeia de suprimentos. Recentemente, passaram a empregar payloads compilados em Rust via NAPI-RS.
Campanhas paralelas incluem a graphalgo, na qual atacantes criam empresas falsas e ocupam perfis para atrair candidatos a vagas técnicas. Nessas ações, projetos são oferecidos como testes técnicos com dependências maliciosas.
Impacto e cenário de segurança
Pacotes maliciosos no npm costumam se disfarçar de ferramentas úteis, dificultando a detecção pela cadeia de suprimentos de software. A prática de dependências transitivas amplia o risco, escondendo código malicioso em camadas intermediárias.
A campanha PromptMink soma-se a ataques atribuídos à Coreia do Norte, reforçando a necessidade de verificação de dependências e de ferramentas de IA utilizadas em desenvolvimento. A situação mantém o ecossistema open source sob vigilância constante.
Entre na conversa da comunidade