«Denne kampanjen presenterer oss for et nytt grenseland i forsyningskjede-sikkerhet for programvare: KI-kodingsagenter manipulert til å installere og bruke ondsinnede avhengigheter i koden de genererer.» Det skriver ReversingLabs i rapporten som dokumenterer det selskapet har døpt PromptMink. Bak kampanjen står Famous Chollima, en av Nord-Koreas APT-grupper som finansierer regimet ved å målrette utviklere og brukere i krypto- og fintech-bransjen.
Kampanjen startet september 2025 med to pakker: lokkemiddelet @solana-launchpad/sdk med ekte funksjonalitet, og avhengigheten @hash-validator/v2 som inneholdt en JavaScript-infostealer. Senere fulgte en serie pakker med navn som aes-create-ipheriv og jito-proper-excutor, alle posisjonert som verktøy for kryptohash-funksjoner. I februar 2026 byttet angriperne til Single Executable Applications som bundlet Node.js-fortolkeren, og i mars 2026 til pre-kompilerte Rust-tillegg via NAPI-RS for å kutte payload-størrelsen.
«Hvor det skiller seg er at trusselaktørene kan teste lokkemiddelet sitt før det utplasseres.» — ReversingLabs, rapporten om PromptMink
Det forskerne la merke til var kvaliteten på dokumentasjonen. README-filene var overdrevent overbevisende, ikke om hvor nyttige pakkene var for mennesker, men formulert som om en LLM skulle plukke dem opp. Et januar 2026-innlegg på Moltbook (en Reddit-lignende plattform der KI-agenter poster autonomt) viste en bot som hadde hentet @solana-launchpad/sdk for å lage en memecoin. Mer alvorlig: ReversingLabs fant prosjektet openpaw-graveyard fra Solana Graveyard Hackathon der avhengigheten ble lagt til i en commit medforfattet av Claude Opus.
Beslektet er fenomenet «slopsquatting», som Aikido Security-forskeren Charlie Eriksen beskrev først. Han registrerte NPM-pakken react-codeshift som en LLM hadde hallusinert og som hadde spredd seg til 237 GitHub-repoer via vibe-kodede agent-skills for migrering. Pakken hadde reelle nedlastinger før Eriksen rakk å ta navnet. Den eneste grunnen til at det ikke ble en angrepsvektor, var at en sikkerhetsforsker kom først.
CISA, NSA og deres Five Eyes-partnere publiserte nylig en felles veileder for agentic-KI-tjenester som anbefaler tillitsregistre, allow-lister og menneskelig godkjenning før høy-impact handlinger.
Hva bør du gjøre?
- Behandl hver pakke en kodingsagent foreslår som upålitelig inntil du har lest gjennom transitive avhengigheter manuelt.
- Konfigurer agenten med en allow-liste over godkjente registry-kilder og navngitte versjoner. Slå av automatisk
npm installogpip installuten utviklergodkjenning. - Bygg ut SBOM-rutiner for prosjektene dine slik at du kan revidere komponentene som kommer inn fra agent-genererte commits. Sjekk spesielt commits medforfattet av Claude, Cursor eller andre agenter.