Pesquisadores de segurança da ReversingLabs descobriram outro pacote malicioso no npm. Ele foi inserido em um projeto de código aberto por meio de um commit co-assinado pelo modelo de linguagem Claude Opus, da Anthropic. O pacote roubava credenciais de carteiras de criptomoedas de desenvolvedores.
Esse ataque foi batizado de PromptMink, sendo associado ao grupo norte-coreano Famous Chollima.
smart_display
Nossos vídeos em destaque
O pacote que se passava por ferramenta legítima
O pacote em questão se chama @validate-sdk/v2. Ele estava listado no npm como um SDK utilitário para hashing, validação, codificação e geração segura de números aleatórios. Na prática, sua função era vasculhar o ambiente comprometido em busca de credenciais e segredos sensíveis.
O pacote foi publicado pela primeira vez em outubro de 2025 e apresenta sinais de ter sido gerado com ajuda de IA generativa, o chamado vibe coding.
Como o Claude Opus foi usado no ataque
Em 28 de fevereiro de 2026, o pacote malicioso foi adicionado como dependência a um agente autônomo de negociação de criptomoedas chamado openpaw-graveyard. O commit responsável pela inclusão foi co-assinado pelo Claude Opus.
Isso significa que o modelo, ao gerar ou sugerir código, introduziu a dependência infectada no projeto sem identificar o perigo. O atacante explorou a confiança que ferramentas de codificação autônomas depositam em pacotes npm aparentemente legítimos.
)
A estratégia em camadas para escapar da detecção
O ataque funciona em fases. Os pacotes da primeira camada, como @solana-launchpad/sdk e @meme-sdk/trade, não contêm código malicioso por si mesmos.
Eles importam pacotes de uma segunda camada. É nessa segunda camada que o malware de fato reside. Se os pacotes forem detectados e removidos do npm, os operadores os substituem rapidamente. A separação entre isca e payload é o que dificulta a detecção.
Da ferramenta simples ao backdoor persistente
As primeiras versões do malware eram stealers em JavaScript. Eles varriam o diretório de trabalho em busca de arquivos .env e .json para exfiltrar dados a uma URL hospedada na Vercel. Com o tempo, o PromptMink evoluiu. Passou a ser distribuído como um executável Node.js (SEA), o que inflou o payload de 5,1 KB para cerca de 85 MB.
)
Isso levou os atacantes a migrar para payloads compilados em Rust via NAPI-RS. As versões mais recentes instalam backdoors SSH e exfiltram projetos inteiros, incluindo código-fonte e propriedade intelectual.
Fake companies e entrevistas de emprego falsas
Em paralelo, o mesmo grupo conduz uma campanha chamada graphalgo. Ela mira desenvolvedores em busca de emprego. Os atacantes criam empresas fictícias com perfis no GitHub, LinkedIn e X para dar credibilidade a vagas falsas.
Em um caso, registraram uma LLC no estado da Flórida sob o nome de uma das empresas de fachada. Os candidatos são induzidos a baixar projetos do GitHub como parte de um teste técnico. Esses projetos contêm dependências maliciosas que instalam um Trojan de Acesso Remoto (RAT) na máquina da vítima.
)
Ameaça crescente ao ecossistema open source
A campanha PromptMink se soma a uma série de ataques atribuídos a grupos alinhados à Coreia do Norte. Em março, o pacote axios foi comprometido em um ataque de cadeia de suprimentos vinculado ao grupo UNC1069. A estratégia de abusar de ferramentas de codificação com IA para injetar dependências maliciosas representa uma escalada.
Ela automatiza a contaminação de projetos de forma que pode passar despercebida tanto por humanos quanto por sistemas de segurança convencionais.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.