ME News メッセージ、2023年5月1日(UTC+8)、セキュリティ研究機関ReversingLabsは、PromptMinkと呼ばれる悪意のあるnpmパッケージが、AnthropicのClaude Opus AIモデルによって生成されたコードの提出を通じて、オープンソースの暗号取引プロジェクトopenpaw-graveyardに埋め込まれ、ユーザーの暗号ウォレットの証明書やシステムキーが窃取されたことを発見しました。この攻撃は、北朝鮮国家支援のハッカー組織Famous Chollimaによるものであり、この組織は2025年9月以降、悪意のあるnpmパッケージを継続的に拡散しています。彼らは二層の戦略を採用しており、第一層は悪意のない「餌」パッケージで、第二層には実際の悪意のあるペイロードが含まれています。第二層のパッケージが下架された後、攻撃者は当日中に置き換えバージョンを公開します。このマルウェアは複数回のイテレーションを経て進化し、現在はコンパイルされたRustペイロードに変わっており、インストール後に暗号ウォレットの証明書、システム情報、プロジェクトのソースコードを窃取し、LinuxとWindowsシステム上にSSHキーを埋め込み、持続的なリモートアクセスを実現しています。(出典:PANews)
北朝鮮のハッカー組織がClaude生成の悪意のあるコードを暗号取引ツールopenpaw-graveyardに埋め込む
ME News メッセージ、2023年5月1日(UTC+8)、セキュリティ研究機関ReversingLabsは、PromptMinkと呼ばれる悪意のあるnpmパッケージが、AnthropicのClaude Opus AIモデルによって生成されたコードの提出を通じて、オープンソースの暗号取引プロジェクトopenpaw-graveyardに埋め込まれ、ユーザーの暗号ウォレットの証明書やシステムキーが窃取されたことを発見しました。この攻撃は、北朝鮮国家支援のハッカー組織Famous Chollimaによるものであり、この組織は2025年9月以降、悪意のあるnpmパッケージを継続的に拡散しています。彼らは二層の戦略を採用しており、第一層は悪意のない「餌」パッケージで、第二層には実際の悪意のあるペイロードが含まれています。第二層のパッケージが下架された後、攻撃者は当日中に置き換えバージョンを公開します。このマルウェアは複数回のイテレーションを経て進化し、現在はコンパイルされたRustペイロードに変わっており、インストール後に暗号ウォレットの証明書、システム情報、プロジェクトのソースコードを窃取し、LinuxとWindowsシステム上にSSHキーを埋め込み、持続的なリモートアクセスを実現しています。(出典:PANews)