2026-04-29 00:00
← VoltarPesquisadores de segurança cibernética descobriram código malicioso em um pacote npm após um pacote malicioso como uma dependência do projeto do modelo de linguagem grande (LLM) Claude Opus da Anthropic. O pacote em questão é "@validate-sdk/v2", que está listado no npm como um kit utilitário de desenvolvimento de software (SDK) para hashing, validação, codificação/decodificação e geração aleatória segura. No entanto, a sua verdadeira funcionalidade é saquear segredos sensíveis do ambiente comprometido. O pacote, que mostra sinais de ser codificado por vibração usando inteligência artificial generativa (IA), foi carregado pela primeira vez no repositório em outubro de 2025. A campanha de malware recebeu o codinome PromptMink da ReversingLabs, que vinculou a atividade como parte de uma campanha mais ampla montada pelo ator de ameaças norte-coreano conhecido como Famous Chollima (também conhecido como Shifty Corsair), que está por trás da campanha de longa duração Entrevista Contagiosa e do golpe fraudulento do trabalhador de TI. "A nova campanha de malware [...] envolve um pacote contaminado que foi introduzido em um compromisso de 28 de fevereiro para um agente comercial autônomo", disse Vladimir Pezosai, pesquisador do ReversingLabs, em um relatório compartilhado com o The Hacker News. "Thecommit foi coautor do modelo de linguagem grande Claude Opus (LLM) da Anthropic. Ele permite que invasores acessem carteiras e fundos criptográficos dos usuários." O pacote é listado como...
Pesquisadores de segurança cibernética descobriram código malicioso em um pacote npm após um pacote malicioso como uma dependência do projeto do modelo de linguagem grande (LLM) Claude Opus da Anthropic. O pacote em questão é "@validate-sdk/v2", que está listado no npm como um kit utilitário de desenvolvimento de software (SDK) para hashing, validação, codificação/decodificação e geração aleatória segura. No entanto, a sua verdadeira funcionalidade é saquear segredos sensíveis do ambiente comprometido. O pacote, que mostra sinais de ser codificado por vibração usando inteligência artificial generativa (IA), foi carregado pela primeira vez no repositório em outubro de 2025. A campanha de malware recebeu o codinome PromptMink da ReversingLabs, que vinculou a atividade como parte de uma campanha mais ampla montada pelo ator de ameaças norte-coreano conhecido como Famous Chollima (também conhecido como Shifty Corsair), que está por trás da campanha de longa duração Entrevista Contagiosa e do golpe fraudulento do trabalhador de TI. "A nova campanha de malware [...] envolve um pacote contaminado que foi introduzido em um compromisso de 28 de fevereiro para um agente comercial autônomo", disse Vladimir Pezosai, pesquisador do ReversingLabs, em um relatório compartilhado com o The Hacker News. "Thecommit foi coautor do modelo de linguagem grande Claude Opus (LLM) da Anthropic. Ele permite que invasores acessem carteiras e fundos criptográficos dos usuários." O pacote é listado como uma dependência de outro pacote npm chamado "@solana-launchpad/sdk", que, por sua vez, é usado por um terceiro pacote chamado "openpaw-graveyard", que é descrito como um "agente de IA autônomo" que cria uma identidade social na cadeia no blockchain Solana usando o Protocolo Tapestry, negocia criptomoedas via Bankr, bem como interage com outros agentes no Moltbook.
ReversingLabs disse que o pacote gerado pelo agente de IA foi adicionado como uma dependência em um commit de código-fonte feito em fevereiro de 2026, fazendo com que o pacote do agente executasse código malicioso e desse aos invasores acesso por meio de credenciais vazadas às carteiras e fundos de criptomoeda da vítima. O ataque adota uma abordagem em fases, onde os pacotes da primeira camada não contêm nenhum código malicioso, mas importam pacotes da segunda camada que na verdade incorporam a funcionalidade nefasta. Caso o segundo cluster seja detectado ou removido do npm, eles serão substituídos rapidamente. Alguns dos pacotes de primeira camada identificados estão listados abaixo – “Eles implementam algumas funcionalidades relacionadas às criptomoedas”, explicou ReversingLabs. "E cada pacote lista muitas dependências, a maioria das quais são pacotes npm populares com contagens de downloads na casa dos milhões e bilhões, como axios, bn.js etc. No entanto, um pequeno número de dependências são pacotes maliciosos da segunda camada." Os atores da ameaça empregam várias técnicas para ajudar os pacotes não autorizados a escapar da detecção. Isso inclui a criação de uma versão maliciosa das funções já presentes nos pacotes populares listados. Outra técnica utiliza typosquatting, onde os nomes e descrições imitam bibliotecas legítimas.
A primeira versão do pacote publicada no npm como parte desta campanha remonta a setembro de 2025, quando "@hash-validator/v2" foi carregado no registro. A decisão de dividir o ladrão de criptomoedas em duas partes – uma isca benigna que baixa o malware real – pode ter ajudado a evitar a detecção e a ocultar a verdadeira escala do ataque. É importante notar que alguns aspectos da atividade foram documentados por JFrog dois meses depois, destacando o uso de dependências transitivas pelo agente da ameaça para executar código malicioso em sistemas de desenvolvedores e desviar dados valiosos. Nos meses seguintes, a campanha passou por várias transformações, até mesmo visando o Python Package Index (PyPI), empurrando um pacote malicioso ("scraper-npm") com a mesma funcionalidade em fevereiro de 2026. Ainda no mês passado, agentes de ameaças foram observados estabelecendo acesso remoto persistente via SSH e usando cargas úteis compiladas em Rust para exfiltrar projetos inteiros contendo código-fonte e outras propriedades intelectuais de sistemas comprometidos. Versões iniciais do malware eram ladrões ofuscados baseados em JavaScript que examinam o diretório de trabalho atual recursivamente em busca de arquivos .env ou .json e preparam a exfiltração para um URL Vercel ("ipfs-url-validator.vercel.app"), uma plataforma repetidamente abusada pelo Famous Chollima em suas campanhas. Embora as iterações subsequentes tenham sido incorporadas ao PromptMink na forma de um aplicativo executável único (SEA) Node.js, ele também sofreu uma desvantagem notável, pois fez com que o tamanho da carga útil crescesse de apenas 5,1 KB para cerca de 85 MB. A evolução do malware de um simples infostealer para um coletor multiplataforma especializado voltado para Windows, Linux e macOS, capaz de derrubar backdoors SSH e reunir projetos inteiros, demonstra o direcionamento contínuo dos agentes de ameaças norte-coreanos ao ecossistema de código aberto para atingir os desenvolvedores no espaço Web3.
O famoso Chollima está “aproveitando o código gerado por IA e uma estratégia de pacote em camadas para evitar a detecção e enganar de forma mais eficaz os assistentes de codificação automatizados do que os desenvolvedores humanos”, acrescentou ReversingLabs. As descobertas coincidem com a descoberta de um pacote npm malicioso chamado “express-session-js”, que se acredita estar vinculado à campanha Contagious Interview, com a biblioteca atuando como um canal para um conta-gotas que busca uma carga ofuscada de segundo estágio do JSON Keeper, um serviço de colagem. “A desofuscação estática da carga útil do estágio 2 revela um Trojan de acesso remoto (RAT) completo e um ladrão de informações que se conecta a 216[.]126[.]237[.]71 via Socket.IO, com recursos que incluem roubo de credenciais do navegador, extração de carteira criptografada, captura de tela, monitoramento da área de transferência, keylogging e controle remoto de mouse/teclado”, observou SafeDepeste mês. Curiosamente, o uso de pacotes legítimos como “socket.io-client” para comunicação de comando e controle (C2), “screenshot-desktop” para captura de tela, “sharp” para compactação de imagem e “clipboardy” para acesso à área de transferência se sobrepõe ao do OtterCookie, um conhecido malware ladrão atribuído à campanha. A novidade desta vez é a adição do pacote “@nut-tree-fork/nut-js” para controle de mouse e teclado, sugerindo tentativas mais amplas de atualizar os recursos do RAT para facilitar o controle interativo de hosts infectados. OtterCookie, por sua vez, testemunhou um amadurecimento próprio, sendo distribuído por meio de um projeto de xadrez 3D de código aberto trojanizado hospedado no Bitbucket e pacotes npm maliciosos como "gemini-ai-checker", "express-flowlimit" e "chai-extensions-extras". Um terceiro método empregou uma abordagem de boneca Matryoshka como parte de uma campanha chamada Comerciante Contagioso. O ataque começa com o download de um pacote wrapper benigno (por exemplo, "bjs-biginteger"), que então baixa uma dependência maliciosa (por exemplo, "bjs-lint-builder") e, por fim, instala o ladrão.
“As recentes campanhas orquestradas pela Shifty Corsair demonstram a ameaça crescente das operações cibernéticas alinhadas pelo Estado da RPDC”, disse Curt Buchanan, pesquisador da BlueVoyant. “Sua rápida evolução, da codificação estática Obfuscator.io à ofuscação personalizada rotativa dinâmica, e seu abuso da infraestrutura C2 hospedada em Vercel, demonstram um amadurecimento em suas capacidades operacionais.” O desenvolvimento é significativo, pois o ator da ameaça foi simultaneamente vinculado a outra campanha em andamento, chamada Graphalgo, que atrai desenvolvedores usando empresas falsas e aproveita entrevistas de emprego e testes de codificação falsos para entregar pacotes NPM maliciosos aos seus sistemas. A campanha se desenrola assim: os hackers empregam manobras de engenharia social em plataformas de busca de emprego e redes sociais para enganar possíveis alvos e fazê-los baixar projetos hospedados no GitHub como parte de uma avaliação. Esses projetos, por sua vez, contêm dependência de um pacote malicioso publicado em npm ou PyPI, cujo principal objetivo é implantar um trojan de acesso remoto (RAT) na máquina. Para realizar o ataque, as operadoras criaram uma rede de falsificações e empresas, completas com perfis convincentes em plataformas como GitHub, LinkedIn e X para lhes dar uma aparência de legitimidade e tornar o engano mais convincente. No caso do Blocmerce, os invasores chegaram ao ponto de realmente registrar uma sociedade de responsabilidade limitada (LLC) no estado americano da Flórida sob o mesmo nome em agosto de 2025. Os nomes de algumas das empresas usadas para phishing de front-end são os seguintes - “Essas organizações estão vinculadas a várias organizações do GitHub relacionadas a empresas de blockchain que estão ativas no GitHub desde junho de 2025”, disse Karlo Zank, pesquisador de segurança da ReversingLabs. “Seu objetivo é fornecer confiabilidade a ofertas de emprego falsas e hospedar tarefas falsas de entrevistas de emprego.” Versões recentes da campanha também foram detectadas usando uma técnica diferente para hospedar dependências maliciosas.
Em vez de publicá-los no npm ou no PyPI, eles são hospedados como um artefato de lançamento nos repositórios do GitHub, provavelmente em um esforço para minimizar o risco de detecção. “A referência à dependência maliciosa está enterrada profundamente na lista de dependências transitivas. O campo resolvido no arquivo package-lock.json instrui o gerenciador de pacotes de onde buscar dependências de pacotes específicas”, observou ReversingLabs. “Enquanto todas as outras dependências são obtidas do registro npm oficial, a dependência maliciosa é obtida diretamente de um artefato de lançamento localizado em um repositório GitHub criado.” O ataque culmina com a implantação de um RAT que pode coletar informações do sistema, enumerar arquivos e diretórios, listar processos em execução, criar pastas, renomear arquivos, excluir arquivos e fazer upload/download de arquivos. Nas últimas semanas, um cluster de ameaças patrocinado pelo Estado norte-coreano, identificado como UNC1069, também foi associado ao comprometimento de "axios", um dos pacotes npm mais populares, destacando a ameaça contínua enfrentada pelos repositórios de código aberto de Pyongyang. Desde então, os invasores por trás da violação publicaram um novo pacote npm chamado "csec-crypto-utils" contendo uma "carga útil atualizada" que substitui o conta-gotas RAT por um ladrão de dados que esfolia chaves AWS, tokens GitHub e arquivos de configuração .npmrc para um servidor externo ("csec-c2-server.onrender[.]com"). Em seu relatório detalhando o comprometimento da cadeia de suprimentos, a Hunt.io amarrou o ataque a um subcluster do Grupo Lazarus conhecido como BlueNoroff, citando sobreposições de infraestrutura e as semelhanças do RAT com o NukeSped. “O uso de técnicas e táticas avançadas pelos atores de ameaças, bem como um nível surpreendente de preparação de campanha (criação de uma LLC na Flórida) e sua capacidade de adaptação, tornam os atores de ameaças norte-coreanos uma grande ameaça para organizações ou desenvolvedores individuais focados em criptomoeda”, disse ReversingLabs.
Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada. Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor – tudo gratuitamente.