Щойно натрапив на досить тривожну інформацію, яку виявили дослідники безпеки з ReversingLabs. Очевидно, група хакерів з Північної Кореї змогла вставити шкідливий код у популярний інструмент для торгівлі криптовалютами, маскуючи його у npm-пакеті під назвою PromptMink.

Ось як це сталося: ReversingLabs виявили, що цей бекдор був згенерований за допомогою моделі штучного інтелекту Claude і вставлений у openpaw-graveyard, проект з відкритим кодом для криптовалют. Зловмисники, що стоять за цим, належать до групи Famous Chollima, державної підтримуваної групи, яка веде цю операцію щонайменше з вересня 2025 року. Їхній підхід досить складний — вони використовують двошарову стратегію, де перший пакет здається чистим, але другий несе справжнє навантаження. Коли розробники видаляють шкідливу версію, вони просто публікують заміну того ж дня.

Що ще гірше, так це те, як еволюціонувало це шкідливе програмне забезпечення. Тепер воно скомпільоване як Rust-пayload, який завдає серйозної шкоди після встановлення. Йдеться про крадіжку облікових даних гаманців, збір системної інформації, витяг вихідного коду та імплантацію SSH-ключів для постійного бекдору на системах Linux і Windows.

ReversingLabs відстежує це, і це яскраве нагадування про те, наскільки крихкою є ланцюг поставок у криптоіндустрії. Ці атаки спрямовані на інструменти, які використовують розробники щодня, що може потенційно поставити під загрозу цілі проекти. Той факт, що вони використовують код, згенерований штучним інтелектом, щоб уникнути виявлення, ускладнює ситуацію ще більше. Якщо ви використовуєте криптоінструменти, особливо будь-які, що витягують пакети з npm, варто звернути увагу. Переконайтеся, що ваші залежності дійсно походять із надійних джерел, і тримайте системи оновленими.