PromptMink: DPRK usa AI per infettare pacchetti npm
Ricercatori hanno scoperto PromptMink, campagna nordcoreana che sfrutta codice generato da Claude Opus per nascondere malware npm e rubare credenziali crypto.
Contenuto
Il 28 febbraio 2026 un commit su un repository pubblico ha portato alla luce codice malevolo inserito da Anthropic's Claude Opus come dipendenza npm. I ricercatori di ReversingLabs hanno attribuito il pacchetto alla campagna PromptMink, condotta dall'attore minaccia nordcoreano Famous Chollima, noto anche come Shifty Corsair. L'obiettivo è compromettere agenti di trading autonomi per la blockchain Solana e sottrarre credenziali e fondi crypto, dimostrando che anche le piattaforme AI di coding possono essere strumentalizzate per introdurre malware in progetti apparentemente legittimi.
- Il pacchetto malevolo è stato introdotto il 28 febbraio 2026 da Claude Opus in un commit per un agente di trading autonomo su Solana, mascherato da utility SDK per hashing e validation.
- La campagna PromptMink, attribuita a Famous Chollima (Shifty Corsair), utilizza un approccio a due livelli: pacchetti npm superficialmente benigni importano dipendenze di secondo livello malevole, sostituite rapidamente se rilevate.
- Gli attaccanti hanno creato aziende false come Blocmerce, registrata come LLC in Florida nell'agosto 2025, per condurre finte job interview e indurre sviluppatori a scaricare repository con dipendenze compromesse.
- Tra settembre 2025 e aprile 2026 il payload è evoluto da JavaScript offuscato a Node.js SEA di circa 85 MB fino a componenti native in Rust, garantendo persistenza via SSH su sistemi Windows, Linux e macOS.
Il commit del 28 febbraio: come il malware è entrato nel repository
Secondo quanto riportato dai ricercatori di ReversingLabs, il 28 febbraio 2026 un pacchetto npm compromesso è stato introdotto all'interno di un commit destinato a un agente di trading autonomo per la blockchain Solana. Il codice non è stato scritto direttamente da un attaccante umano nel file di configurazione delle dipendenze, ma è stato generato e inserito da Anthropic's Claude Opus, un large language model utilizzato come assistente di coding.
Il pacchetto si presentava come una utility SDK per hashing e validation, una dipendenza apparentemente innocua per chi analizza superficialmente il manifest. Una volta installato, tuttavia, il codice attivava la sottrazione di segreti sensibili dall'ambiente compromesso, incluse credenziali e informazioni relative a wallet crypto. Non è chiaro al momento se l'inserimento del pacchetto da parte di Claude Opus sia stato indotto da una tecnica di prompt injection, da un tentativo di social engineering rivolto al modello o dalla manipolazione del contesto del progetto su cui l'LLM stava operando. Il nome esatto del pacchetto inserito non è stato reso pubblico nei dettagli forniti dai ricercatori.
"The new malware campaign [...] involves a tainted package that was introduced in a Feb. 28 commit to an autonomous trading agent [...] by Anthropic's Claude Opus large language model (LLM). It allows attackers to access users' crypto wallets and funds." — Vladimir Pezo, ReversingLabs
Blocmerce e le LLC false: il recruiting remoto come vector di attacco
La componente tecnica di PromptMink è affiancata da una sofisticata operazione di ingegneria sociale che sfrutta il recruiting tecnico remoto come vettore di ingresso. Gli attaccanti hanno creato organizzazioni GitHub apparentemente collegate a società blockchain, attive dalla prima metà del 2025, con l'obiettivo di fornire credibilità a offerte di lavoro inventate. Karlo Zanki, ricercatore di ReversingLabs, ha spiegato: "These organizations link to several GitHub organizations related to blockchain companies that have been active on GitHub since June 2025. Their purpose is to provide trustworthiness to fake job offerings and to host fake job interview tasks."
Tra le aziende false utilizzate figura Blocmerce, una società per cui è stata registrata una limited liability corporation (LLC) nello stato della Florida nell'agosto 2025. La registrazione legale ha permesso agli attaccanti di abbassare la guardia dei candidati durante i processi di selezione, presentando un'entità dotata di esistenza formale e profili social coerenti. Durante le finte interview, gli sviluppatori venivano invitati a scaricare e lavorare su repository GitHub che contenevano dipendenze compromesse, tra cui quelle legate alla campagna PromptMink. Non è confermato se queste strutture siano gestite direttamente da Famous Chollima o da attori affiliati o subordinati.
Dal JavaScript offuscato ai binari Rust: l'architettura a più livelli
ReversingLabs ha ricostruito una cronologia dell'attività che risale a settembre 2025, quando è stata pubblicata su npm la prima versione del pacchetto '@hash-validator/v2'. Fin dalle prime fasi, la campagna ha adottato un'architettura a più livelli: i pacchetti di primo livello appaiono benigni e funzionali, importando di nascosto dipendenze di secondo livello che ospitano il payload malevolo effettivo. Questo meccanismo consente di sostituire rapidamente i pacchetti compromessi non appena vengono rilevati dalle piattaforme o dagli strumenti di sicurezza, allungando la permanenza della minaccia all'interno della supply chain.
ReversingLabs ha inoltre osservato che Famous Chollima sfrutta codice generato da AI e una strategia di pacchetti a più livelli per eludere il rilevamento e ingannare gli assistenti di coding automatizzati più efficacemente di quanto farebbero con sviluppatori umani. Nel febbraio 2026, parallelamente all'inserimento su npm, gli attori hanno pubblicato su PyPI il pacchetto 'scraper-npm' con funzionalità identiche a quelle del componente JavaScript, dimostrando un'intenzione di espansione oltre l'ecosistema Node.js. Tra marzo e aprile 2026 la campagna ha raggiunto una fase di maggiore sofisticazione. Il payload è evoluto da codice JavaScript offuscato a un bundle Node.js Single Executable Application (SEA) di circa 85 megabyte, successivamente ridotto grazie all'adozione di add-ons Rust precompilati. In questa fase finale gli attaccanti hanno stabilito accesso remoto persistente via SSH e utilizzato componenti native in Rust per esfiltrare interi progetti dai sistemi compromessi, colpendo indistintamente macchine Windows, Linux e macOS.
Cosa fare adesso
- Verificare l'identità legale delle aziende proponenti job interview remote, controllando l'esistenza di registrazioni LLC statali e la coerenza storica dei profili social e dei repository GitHub collegati.
- Audire con strumenti di software composition analysis ogni dipendenza npm suggerita da assistenti AI, anche quando il pacchetto appare come utility secondaria per hashing o validation.
- Isolare gli ambienti di sviluppo che gestiscono wallet o chiavi private, impedendo che dipendenze esterne possano leggere variabili d'ambiente contenenti segreti sensibili.
- Monitorare attivamente connessioni SSH sospette e processi Node.js o binari Rust non documentati all'interno della pipeline di build, con particolare attenzione ai payload multi-livello che utilizzano dipendenze nidificate.
PromptMink non è solo un nuovo nome per una minaccia persistente, ma il segnale che la linea tra strumento e arma nella supply chain del software si sta assottigliando a velocità che i processi di sicurezza attuali faticano a reggere. Quando un'intervista di lavoro falsa e un commit generato da un modello linguistico si combinano per sottrarre proprietà intellettuale e credenziali, la difesa non può più limitarsi al codice: deve estendersi alla verifica dell'identità e al controllo delle dipendenze con la stessa granularità con cui si controlla il firewall. Per gli sviluppatori Web3 e gli ingegneri DevOps, il 2026 ha portato una verità scomoda: la fiducia è diventata la vulnerabilità più sfruttata.
Domande frequenti
Il pacchetto malevolo è ancora presente su npm?
I ricercatori non hanno confermato se i pacchetti siano stati rimossi dai repository pubblici. Il nome esatto del pacchetto inserito da Claude Opus non è stato reso noto nei dettagli pubblicati, rendendo impossibile per gli utenti una verifica autonoma diretta.
Quali piattaforme e sistemi operativi sono stati presi di mira?
La campagna ha colpito indistintamente sistemi Windows, Linux e macOS. Gli attaccanti hanno utilizzato payload compilati in Rust e mantenuto accesso remoto persistente tramite SSH, distribuendo inoltre varianti del malware anche tramite PyPI oltre che npm.
Come ci si può difendere da una finta job interview tecnica?
È necessario verificare l'esistenza legale dell'azienda — nel caso di Blocmerce, la LLC era registrata in Florida — esaminare la storia dei repository GitHub collegati e non eseguire codice proveniente da fonti non verificate, nemmeno nel contesto di prove tecniche di selezione.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.