Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Infosecurity Magazine · 29.4., 16:08 · sikkerhet

PromptMink: nordkoreansk APT brukte Claude Opus til å smugle npm-bakdør i trading-agent

SYNOPSIS_GENERERT

ReversingLabs har koblet npm-pakken @validate-sdk/v2 til Famous Chollima (APT37); commit-en var medskrevet av Claude Opus, og over sju måneder er 60+ pakker og 300+ versjoner sporet i kampanjen.

I februar 2026 ble pakken @validate-sdk/v2 lagt inn som dependency i en autonom trading-agent. Pakken så ut som et legitimt valideringsverktøy. Commit-meldingen avslørte at den var medskrevet med Claude Opus. Det er det ReversingLabs nå kaller PromptMink, og bak står Famous Chollima (også kjent som APT37 eller Reaper), aktiv siden 2018 og kjent for å målrette kryptovalutautviklere.

Strategien er todelt. Den synlige pakken er en tilsynelatende nyttig Web3-utility som bygger tillit og blir installert. Den faktiske nyttelasten ligger i en sekundær avhengighet som kan byttes ut uten å miste den synlige pakkens omdømme. Over sju måneder er 60+ pakker og 300+ versjoner sporet, et tegn på at angriperne kontinuerlig itererer på leveransen mens fasaden står.

«Etterlatte prompts i koden tyder på at LLM-er ble brukt under utviklingen. Angripere former i økende grad ondsinnede pakker for å appellere til KI-kodeassistenter, og utvider supply chain-risikoen inn i automatiserte utvikler-arbeidsflyter.» (ReversingLabs via Infosecurity Magazine)

Malwaren har modnet underveis. Tidlige versjoner stjal .env-filer og krypto-relaterte data. Senere iterasjoner skanner kataloger for hemmeligheter, samler systeminformasjon (brukernavn, IP-adresser), komprimerer hele prosjektmapper før eksfiltrering, og installerer SSH-nøkler for vedvarende fjerntilgang. Teknisk har koden migrert fra JavaScript til kompilerte binærer og Rust-payloads, hvilket gir bedre evasion og samme funksjonalitet på tvers av OS.

For deg som bygger autonome agenter med kodeassistent i sløyfa, er angrepsvektoren spesielt ubehagelig. Hvis Claude eller en annen LLM kan velge dependencies fritt, blir treffraten på pakker som er optimalisert for å virke trygge for KI mye høyere enn for et menneske som leser README og siste commits. Pakkenavnet @validate-sdk/v2 er ikke valgt tilfeldig; det matcher mønsteret en KI ville foreslått.

Hva bør du gjøre?

  1. Lås dependencies med npm ci og package-lock.json eller bruk pnpm med strict-versjonering. Tillat aldri at en agent kjører npm install med uspecifiserte pakker i CI eller lokalt.
  2. Kjør et SCA-verktøy som Socket.dev, Snyk eller Phylum mot lockfilen før hver bygg. Disse fanger atferdsanomalier (postinstall-skript, network calls, krypto-relaterte mønstre) som rene CVE-databaser misser.
  3. Audit kodeassistentens dependency-forslag manuelt. Hvis Claude eller Cursor foreslår en pakke du ikke kjenner: sjekk publikasjonsdato, antall nedlastinger over tid, og om vedlikeholderen har historie. Pakker uten historikk fra 2026 bør behandles som mistenkelige til det motsatte er bevist.
Åpne eksternt kildedokument
sikkerhetagenterutvikling

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN