Software-utvikling har lenge hvilt på automatisk avhengighetsinstallasjon og tillit til at npm-pakker er trygge. Det er nettopp denne tilliten ReversingLabs nå dokumenterer som blir snudd: 28. februar 2026 ble det lagt til en commit i den åpne agenten openpaw-graveyard, med footeren Co-Authored-By: Claude Opus. Commiten introduserte @solana-launchpad/sdk, en pakke som så uskyldig ut og selv ikke inneholdt skadelig kode. Den dro stille inn @validate-sdk/v2, som tapper miljøvariabler, JSON-konfig, API-nøkler og kryptolommebok-credentials til en angriper-kontrollert server.
ReversingLabs har sporet kampanjen siden oktober 2025 og knytter den til Famous Chollima, samme gruppe som tidligere Contagious Interview-kampanjen som målrettet utviklere via falske jobbintervjuer. PromptMink bruker en bevisst tolags-struktur: lokkepakker som ser legitime ut og bærer null skadelig kode, og engangs-payload-pakker som lokkepakkene importerer i stillhet. Kampanjen har gått i over sju måneder med 60 unike pakker fordelt på 300 versjoner, og det er ingen tegn til at aktiviteten avtar.
«AI coding agents installerer pakkene automatisk uten synlig advarsel, og det er der bait-design-mønsteret virkelig får tak.» — ReversingLabs-rapporten
På Linux planter senere versjoner angriperens SSH-nøkkel i ~/.ssh/authorized_keys for vedvarende tilgang etter at pakken er fjernet. Windows-varianten holder seg til fileksfiltrering, mens Rust-baserte versjoner går lengre og pakker hele prosjektmapper for tyveri av kildekode.
Hva bør du gjøre?
- Behandle KI-genererte commits som ureviewde PRer. Sjekk hver nye dependency manuelt, særlig pakker uten bred adopsjon eller etablert eier.
- Audit ~/.ssh/authorized_keys jevnlig på utviklingsmaskiner og CI-runners. Ny entry du ikke kjenner igjen er en kompromittering.
- Logg utgående DNS fra dev-miljøet. PromptMink bytter destinasjons-domener, så et nytt domene fra en byggprosess er en sterk indikator på kompromittering.