Только что наткнулся на довольно тревожную информацию, которую обнаружили исследователи безопасности из ReversingLabs. По всей видимости, хакерская группа из Северной Кореи смогла внедрить вредоносный код в популярный инструмент для криптоторговли, замаскировав его в npm-пакете под названием PromptMink.

Вот как это произошло: ReversingLabs обнаружили, что эта задняя дверь была сгенерирована с помощью модели ИИ Claude и внедрена в openpaw-graveyard, проект с открытым исходным кодом для криптовалют. За этим стоят злоумышленники из Famous Chollima, государственной группы, которая занимается этой операцией как минимум с сентября 2025 года. Их подход довольно сложный — они используют двухуровневую стратегию, при которой первый пакет выглядит чистым, а второй содержит настоящий вредоносный код. Когда разработчики удаляют вредоносную версию, они просто публикуют замену в тот же день.

Что усугубляет ситуацию, так это то, как эволюционировало это вредоносное ПО. Сейчас оно скомпилировано как Rust-оболочка, которая наносит серьезный урон после установки. Мы говорим о краже данных кошельков, сборе информации о системе, извлечении исходного кода и внедрении SSH-ключей для постоянного доступа через заднюю дверь как на Linux, так и на Windows.

ReversingLabs отслеживает это, и это яркое напоминание о том, насколько хрупка цепочка поставок в криптоиндустрии. Эти атаки нацелены на инструменты, которые используют разработчики каждый день, что потенциально может скомпрометировать целые проекты. Тот факт, что они используют код, сгенерированный ИИ, чтобы избежать обнаружения, делает ситуацию еще сложнее. Если вы используете криптоинструменты, особенно что-то, что подтягивается из npm-пакетов, стоит обратить на это внимание. Убедитесь, что ваши зависимости действительно来自 доверенных источников, и держите системы в актуальном состоянии.