暗号開発者はClaudeをベースにしたマルウェアから新たな脅威に直面

オープンソースの暗号取引プロジェクトは、AnthropicのClaude Opus AIモデルが依存関係にした後、悪意のあるnpmパッケージ@validate-sdk/v2を受け取りました。これにより、ハッカーはユーザーの暗号ウォレットと資金にアクセスできるようになりました。

ReversingLabs（RL）のセキュリティ研究者は、npmにホストされている自律型暗号取引エージェントのopenpaw-graveyardプロジェクトでこの侵害を発見しました。彼らはこれをPromptMinkと呼びました。

悪意のあるコミットは2026年2月28日に行われました。ReversingLabsは、このパッケージはデータをチェックするツールを装っているが、実際にはホスト環境から秘密を盗むと述べています。

PromptMinkマルウェアに関連する北朝鮮のハッカー

ReversingLabsは、攻撃は北朝鮮の国家支援脅威グループであるFamous Chollimaから来たと述べました。

このグループは少なくとも2025年9月から悪意のあるnpmパッケージを拡散しています。彼らは、人間の開発者とAIコーディングアシスタントの両方を騙すことを目的とした二層戦略を改善してきました。

第一層は、悪意のあるコードを持たないパッケージで構成されています。これらの「餌」パッケージは、@solana-launchpad/sdkや@meme-sdk/tradeのように、暗号開発者向けの実用的なツールのように見えます。

彼らは、実際のペイロードを持つ第二層のパッケージと、axiosやbn.jsなどの人気npmパッケージを依存関係としてリストアップしています。

第二層のパッケージが報告されてnpmから削除されると、攻撃者は新しいものを設置し、餌パッケージの評判を維持します。

ReversingLabsは、@hash-validator/v2がnpmから削除されたとき、攻撃者は同じ日に@validate-sdk/v2を同じバージョン番号とソースコードでリリースしたと述べています。

AIエージェントは人間よりもハッキングに対して脆弱である

セキュリティ研究者は、Famous Chollimaの手法は人間の開発者よりもAIコーディングアシスタントを狙ったものの方が適しているようだと述べました。グループは、悪意のあるパッケージに対して詳細なドキュメントを作成しており、研究者はこれを「LLM最適化の乱用」と呼んでいます。

目的は、パッケージを十分にリアルに見せて、AIエージェントが問題なく提案・インストールするように仕向けることです。感染したパッケージは、生成AIツールによって「バイブコード」されていました。残存するLLMの応答はファイルコメントに見られます。

2025年後半以降、PromptMinkマルウェアはさまざまな形態を取りました。

最初はシンプルなJavaScript情報窃盗ツールでしたが、その後、大きな単一実行可能アプリケーションに成長し、現在はステルス性を高めたコンパイル済みのRustペイロードとして登場しています（ReversingLabsによる）。

マルウェアがインストールされると、暗号に関する設定ファイルを探し、ウォレットの資格情報とシステム情報を盗み、プロジェクトのソースコードを圧縮して自分に送信し、LinuxとWindowsのマシンにSSHキーを配置して常にリモートアクセスできるようにします。

PromptMinkキャンペーンは、パッケージマネージャーを通じて暗号開発者を標的とした最近の攻撃の唯一の例ではありません。

先月、Cryptopolitanは、OpenClawコミュニティを標的とした偽のnpmインストーラーを通じてGhostClawというマルウェアについて報告しました。これにより、暗号ウォレットデータ、macOSのKeychainパスワード、AIプラットフォームのAPIトークンが178人の開発者から収集され、npmレジストリから削除されました。

PromptMinkとGhostClawは、ソーシャルエンジニアリングを入口とし、暗号とWeb3に従事する開発者をターゲットにしています。PromptMinkの違いは、AIコーディングエージェントを標的とし、それを攻撃経路として利用している点です。

最も賢い暗号の専門家たちはすでに私たちのニュースレターを読んでいます。参加したいですか？ 彼らに続きましょう。