Krypto-Entwickler sind einer neuen Bedrohung durch Claude-basierte Malware ausgesetzt

Ein Open-Source-Krypto-Handelsprojekt erhielt ein bösartiges npm-Paket namens @validate-sdk/v2, nachdem das Claude Opus AI-Modell von Anthropic es zu einer Abhängigkeit gemacht hatte. Dies verschaffte Hackern Zugriff auf die Krypto-Wallets und Gelder der Benutzer.

Sicherheitsforscher von ReversingLabs (RL) haben die Sicherheitslücke im Openpaw-Graveyard-Projekt gefunden, einem autonomen Krypto-Handelsagenten, der auf npm gehostet wird. Sie nannten es PromptMink.

Der fehlerhafte Commit erfolgte am 28. Februar 2026. ReversingLabs sagt, dass das Paket vorgibt, ein Tool zur Datenprüfung zu sein, in Wirklichkeit jedoch Geheimnisse aus der Host-Umgebung stiehlt.

Nordkoreanische Hacker stehen im Zusammenhang mit der PromptMink-Malware

ReversingLabs sagte, der Angriff sei von Famous Chollima ausgegangen, einer staatlich geförderten nordkoreanischen Bedrohungsgruppe.

Die Gruppe verbreitet seit mindestens September 2025 bösartige NPM-Pakete. Sie haben eine zweistufige Strategie verbessert, die sowohl menschliche Entwickler als auch KI-Codierungsassistenten täuschen soll.

Die erste Schicht besteht aus Paketen, die keinen Schadcode enthalten. Diese „Köderpakete“ wie @solana-launchpad/sdk und @meme-sdk/trade scheinen echte Werkzeuge für Krypto-Entwickler zu sein.

Sie listen einige Second-Layer-Pakete auf, die die eigentliche Nutzlast enthalten, zusammen mit beliebten npm-Paketen wie axios und bn.js als Abhängigkeiten.

Wenn die Second-Layer-Pakete gemeldet und von npm entfernt werden, fügen die Angreifer einfach ein neues ein, ohne den Ruf zu verlieren, den sie rund um die Köderpakete aufgebaut haben.

ReversingLabs sagt, dass die Angreifer @validate-sdk/v2 noch am selben Tag mit derselben Versionsnummer und demselben Quellcode veröffentlichten, als @hash-validator/v2 von npm entfernt wurde.

KI-Agenten sind anfälliger für Hacks als Menschen

Sicherheitsforscher gaben an, dass die Methode von Famous Chollima besser dazu geeignet zu sein scheint, die Vorteile von KI-Codierungsassistenten zu nutzen als von menschlichen Entwicklern. Die Gruppe schreibt lange, detaillierte Dokumentationen für ihre Schadpakete, die Forscher als „Missbrauch der LLM-Optimierung“ bezeichnen.

Ziel ist es, Pakete so real aussehen zu lassen, dass KI-Agenten sie problemlos vorschlagen und installieren können. Die infizierten Pakete wurden durch generative KI-Tools „vibe-codiert“. Übrig gebliebene LLM-Antworten sind in den Dateikommentaren sichtbar.

Seit Ende 2025 hat die PromptMink-Malware viele verschiedene Formen angenommen.

Laut ReversingLabs begann es als einfacher JavaScript-Infostealer, entwickelte sich dann zu großen, einzeln ausführbaren Anwendungen und kommt nun als kompilierte Rust-Payloads, die so konzipiert sind, dass sie unauffällig sind.

Wenn die Malware installiert ist, sucht sie nach kryptobezogenen Konfigurationsdateien, stiehlt Wallet-Anmeldeinformationen und Systeminformationen, komprimiert und sendet den Quellcode des Projekts an sich selbst und legt SSH-Schlüssel auf Linux- und Windows-Rechnern ab, sodass sie jederzeit aus der Ferne darauf zugreifen kann.

Die PromptMink-Kampagne ist nicht der einzige aktuelle Angriff, der über Paketmanager auf Krypto-Entwickler abzielt.

Letzten Monat berichtete Cryptopolitan über GhostClaw, eine Malware, die über ein gefälschtes npm-Installationsprogramm auf die OpenClaw-Community abzielte. Es sammelte Krypto-Wallet-Daten, macOS-Schlüsselbund-Passwörter und AI-Plattform-API-Tokens von 178 Entwicklern, bevor es aus der npm-Registrierung entfernt wurde.

PromptMink und GhostClaw nutzen Social Engineering als Einstiegspunkt und richten sich an Entwickler, die in den Bereichen Krypto und Web3 arbeiten. Das Besondere an PromptMink ist, dass es auf KI-Programmierungsagenten abzielt und diese als Angriffspfad nutzt.