加密开发者面临来自基于Claude的恶意软件的新威胁

一项开源的加密交易项目在 Anthropic 的 Claude Opus AI 模型将其作为依赖后，收到了一个名为 @validate-sdk/v2 的恶意 npm 包。这让黑客能够获取用户的加密钱包及资金。

来自 ReversingLabs（RL）的安全研究人员在 openpaw-graveyard 项目中发现了这一漏洞。该项目是托管在 npm 上的自主加密交易代理。他们将其称为 PromptMink。

恶意提交创建于 2026 年 2 月 28 日。ReversingLabs 表示，该软件包假装是用于检查数据的工具，但实际上会从宿主环境窃取机密信息。

与 PromptMink 恶意软件相关的朝鲜黑客

ReversingLabs 表示，此次攻击源自 Famous Chollima——一个由朝鲜国家支持的威胁团体。

该团体至少自 2025 年 9 月以来就一直在传播恶意的 npm 包。他们不断改进一种双层策略，旨在同时欺骗人类开发者和 AI 编码助手。

第一层由没有任何恶意代码的包构成。这些“诱饵”包，例如 @solana-launchpad/sdk 和 @meme-sdk/trade，看起来像是加密开发者真正会用到的工具。

他们会列出几款携带实际载荷的第二层包，同时还把 axios 和 bn.js 等流行的 npm 包作为依赖。

当第二层包被上报并从 npm 下架时，攻击者只是再投放一个新的包，而不会削弱他们围绕这些诱饵包所建立起来的声誉。

ReversingLabs 表示，当 @hash-validator/v2 从 npm 下架时，攻击者在同一天发布了 @validate-sdk/v2，且版本号和源代码都相同。

AI 代理比人类更容易遭受黑客攻击

安全研究人员称，Famous Chollima 的方法似乎更适合用于利用 AI 编码助手，而不是人类开发者。该团体为其恶意软件包编写了冗长且细致的文档，研究人员称之为“LLM 优化滥用”。

其目的是让软件包看起来足够真实，从而让 AI 代理在毫无问题的情况下提出建议并安装它们。感染的软件包是由生成式 AI 工具“vibe-coded”（以生成式方式编写/生成）。文件注释中还能看到残留的 LLM 回复内容。

自 2025 年下半年以来，PromptMink 恶意软件已经呈现出多种不同形态。

它最初只是一个简单的 JavaScript 信息窃取器，随后发展为大型的单一可执行应用程序；而如今，则以经过编译的 Rust 载荷形式出现，目的是做到隐蔽运行——ReversingLabs 表示如此。

当恶意软件安装后，它会寻找与加密相关的配置文件，窃取钱包凭据和系统信息，将项目源代码压缩后发送给自身，并在 Linux 和 Windows 机器上投放 SSH 密钥，以便它能够一直进行远程访问。

PromptMink 行动并不是近期通过包管理器瞄准加密开发者的唯一攻击。

上个月，Cryptopolitan 报道了 GhostClaw：一种通过假冒的 npm 安装程序针对 OpenClaw 社区的恶意软件。在从 npm 注册表移除之前，它从 178 名开发者手中窃取了加密钱包数据、macOS Keychain（钥匙串）密码以及 AI 平台 API 令牌。

PromptMink 和 GhostClaw 都以社交工程作为切入点，目标是从事加密和 Web3 的开发者。PromptMink 的不同之处在于，它会直接针对 AI 编码代理，并将这些代理作为攻击路径。

最聪明的加密从业者已经在阅读我们的通讯了。想加入吗？邀请你一起来。