Acabei de encontrar algo bastante preocupante que pesquisadores de segurança da ReversingLabs descobriram. Aparentemente, um grupo de hackers norte-coreano conseguiu inserir código malicioso em uma ferramenta de negociação de criptomoedas popular, disfarçando-o em um pacote npm chamado PromptMink.

Veja como aconteceu: a ReversingLabs descobriu que essa porta dos fundos foi gerada usando o modelo de IA do Claude e plantada no openpaw-graveyard, um projeto de criptomoeda de código aberto. Os atacantes por trás disso são do Famous Chollima, um grupo patrocinado pelo estado que vem operando essa atividade desde pelo menos setembro de 2025. A abordagem deles é bastante sofisticada — eles usam uma estratégia de duas camadas, onde o primeiro pacote parece limpo, mas o segundo carrega a carga útil real. Quando os desenvolvedores removem a versão maliciosa, eles simplesmente enviam uma substituição no mesmo dia.

O que torna isso ainda pior é como o malware evoluiu. Agora, ele é compilado como uma carga útil em Rust que causa danos sérios assim que instalada. Estamos falando de roubo de credenciais de carteiras, coleta de informações do sistema, extração de código-fonte e implantação de chaves SSH para acesso persistente à porta dos fundos em máquinas Linux e Windows.

A ReversingLabs tem acompanhado isso, e é um lembrete claro de quão frágil é a cadeia de suprimentos no mundo cripto. Esses ataques visam as ferramentas que os desenvolvedores usam todos os dias, o que significa que podem potencialmente comprometer projetos inteiros. O fato de usarem código gerado por IA para escapar da detecção torna tudo ainda mais complicado. Se você estiver usando ferramentas de criptomoeda, especialmente qualquer coisa que puxe pacotes do npm, vale a pena ficar atento. Certifique-se de que suas dependências realmente vêm de fontes confiáveis e mantenha seus sistemas atualizados.