Acabo de encontrar algo bastante preocupante que los investigadores de seguridad en ReversingLabs descubrieron. Aparentemente, un grupo de hackers norcoreano logró colar código malicioso en una herramienta de comercio de criptomonedas popular disfrazándolo en un paquete npm llamado PromptMink.

Así fue como sucedió: ReversingLabs descubrió que esta puerta trasera fue generada usando el modelo de IA de Claude y plantada en openpaw-graveyard, un proyecto de criptomonedas de código abierto. Los atacantes detrás de esto son de Famous Chollima, un grupo patrocinado por el estado que ha estado operando desde al menos septiembre de 2025. Su enfoque es bastante sofisticado en realidad: utilizan una estrategia de dos capas donde el primer paquete parece limpio pero el segundo lleva la carga útil real. Cuando los desarrolladores eliminan la versión maliciosa, simplemente envían un reemplazo el mismo día.

Lo que hace esto peor es cómo evolucionó el malware. Ahora está compilado como una carga útil en Rust que causa daños graves una vez instalado. Estamos hablando de robo de credenciales de billeteras, recopilación de información del sistema, extracción de código fuente e implantación de claves SSH para acceso persistente a puertas traseras en máquinas Linux y Windows.

ReversingLabs ha estado siguiendo esto, y es un recordatorio contundente de cuán frágil es la cadena de suministro en el mundo cripto. Estos ataques apuntan a las herramientas que los desarrolladores usan todos los días, lo que significa que potencialmente pueden comprometer proyectos enteros. El hecho de que estén usando código generado por IA para evadir la detección hace que sea aún más complicado. Si estás usando herramientas de cripto, especialmente cualquier cosa que extraiga paquetes de npm, vale la pena prestarle atención. Asegúrate de que tus dependencias provengan realmente de fuentes confiables y mantén tus sistemas actualizados.