Claude-generierter Commit fügt Malware des PromptMink-Malwares zu Krypto-Handels-Agenten hinzu

Februar 2026, als ein Commit in ein npm-Paket namens openpaw-graveyard eingereicht wurde, das als autonomer Krypto-Handelsagent läuft. Dieser Commit fügte ein Paket namens @solana-launchpad/sdk als Abhängigkeit hinzu.

Diese Ergänzung sah oberflächlich harmlos aus, zog aber stillschweigend ein zweites Paket namens @validate-sdk/v2 nach, welches die eigentliche bösartige Nutzlast ist.

Dieses zweite Paket präsentiert sich als ein Standard-Datenvalidierungstool, während es heimlich sensible Anmeldeinformationen aus der Host-Umgebung an einen entfernten, vom Angreifer kontrollierten Server sendet.

Das ultimative Ziel ist es, Zugang

Das ultimative Ziel ist es, Zugang zu den Krypto-Wallets und Geldern der Benutzer zu erhalten, und der Commit, der dies alles möglich machte, wurde.

Abbildung 13: Claude Opus verfasste den Commit, der die bösartige Abhängigkeit hinzufügte *(claude-promptmink-figure-13-claude-opus-coauthored-commit.png)* Forscher , die dieses Schema aufdeckten und untersuchten. Ihr Team verfolgte seit Oktober 2025 eng verdächtige Versionen des @validate-sdk/v2 npm-Pakets.

Nach gründlicher Analyse gaben die Forscher PromptMink und führten sie auf einen koordinierten Lieferkettenangriff zurück, der mit Famous Chollima, einer nordkorea verbundenen Bedrohungsgruppe, in Verbindung steht.

Dies ist derselbe Schauspieler, der zuvor

Dies ist derselbe Schauspieler, der zuvor mit der Contagious Interview-Kampagne in Verbindung gebracht wurde, welche Softwareentwickler durch gefälschte Vorstellungsgespräche und Code-Assessments ins Visier nahm, die darauf ausgelegt waren, bösartige Pakete zu liefern.

Die PromptMink-Kampagne nutzt eine absichtliche zweischichtige Struktur, um automatisierte Sicherheitsüberprüfungen zu umgehen. Die erste Schicht besteht aus Paketen, die völlig legitim erscheinen und an sich keinen bösartigen Code enthalten.

Diese Köderpakete sind darauf ausgelegt, Entwickler und KI-Codierungsagenten anzusprechen, indem sie das Aussehen und die Dokumentation vertrauenswürdiger Tools imitieren. Die zweite Schicht enthält den tatsächlichen schädlichen Code in kleineren, austauschbaren Paketen, die die erste Schicht still als Abhängigkeiten importiert.

Wenn ein Entwickler oder ein KI-Agent

Wenn ein Entwickler oder ein KI-Agent das erste Schicht-Paket installiert, wird das bösartige zweite Schicht-Paket automatisch ohne sichtbare Warnung mitgeliefert. Wenn das zweite Paket entdeckt und entfernt wird, veröffentlichen die Bedrohungsakteure einfach eine neue Version unter einem anderen Namen, wobei die gleiche Funktionalität erhalten bleibt.

Crypto Trading Agent Capabilities (Quelle – Reversing Labs) Die Kampagne läuft seit über sieben Monaten, wobei die Angreifer kontinuierlich aktualisierte Paketversionen veröffentlichen. Über 60 einzigartige bösartige Pakete erschienen in über 300 Versionen, und es gibt derzeit keine Anzeichen dafür, dass die Aktivität aufhört.

Infektionsmechanismus: Inside the PromptMink Payload Sobald das @validate-sdk/v2-Paket das System eines Entwicklers erreicht, beginnt es, alle Verzeichnisse nach Dateien zu scannen, die sensible Informationen enthalten könnten.

Es zielt auf Umgebungsvariablen, JSON-Konfigurationsdateien, API-Schlüssel

Es zielt auf Umgebungsvariablen, JSON-Konfigurationsdateien, API-Schlüssel und alles ab, was mit Kryptowährungstransaktionen oder Wallet-Zugriff zusammenhängt. Die gesammelten Dateien werden komprimiert und leise an einen vom Angreifer kontrollierten Server gesendet.

Frühere Paketversionen verließen sich auf eine base64-kodierte URL, um das Ziel zu verbergen, während spätere Versionen auf eine dedizierte Domain umstiegen, um die Verfolgung zu erschweren.

Recursive Walk Through Directories and Collection of Sensitive Files (Quelle – Reversing Labs) Als die Kampagne fortschritt, fügten die Bedrohungsakteure dem Payload eine gefährlichere Fähigkeit hinzu.

Auf Linux-basierten Systemen pflanzt die Malware

Auf Linux-basierten Systemen pflanzt die Malware den öffentlichen SSH-Schlüssel des Angreifers in die Datei autorisierte Schlüssel des Opfers ein und erstellt so ein persistentes Hintertürchen, das auch nach Entfernung des bösartigen Pakets einen Fernzugriff ermöglicht.

Auf Windows-Systemen konzentriert sich der Fokus weiterhin nur auf die Exfiltration ätere Versionen, geschrieben in Rust, gingen noch weiter und komprimierten und stahlen ganze Projektverzeichnisse, einschließlich des vollständigen Quellcodes, was auf den Diebstahl geistigen Eigentums als klares Ziel hindeutet.

Hinzufügen eines öffentlichen SSH-Schlüssels zur Maschine des Opfers auf OS-sensible Weise (Quelle – Reversing Labs) Entwickler und Sicherheitsteams werden ermutigt, jeden KI-generierten Code-Commit sorgfältig zu überprüfen, bevor er zusammengeführt wird, und dabei besondere Aufmerksamkeit auf neu eingeführte Abhängigkeiten zu schenken.

Moegliche Anwendungen

Alle zu einem Projekt hinzugefügten Pakete sollten über vertrauenswürdige Registries überprüft und auf unerwartetes Verhalten untersucht werden. Die Überwachung ungewöhnlicher ausgehender Netzwerkverbindungen in Entwicklungsumgebungen ist ebenso wichtig.

Teams sollten außerdem regelmäßig ihre SSH-autorisierten Schlüsseldateien überprüfen, um nicht autorisierte Einträge zu erkennen, die auf einen Kompromittierung hinweisen könnten. Sie uns auf

Der Beitrag Claude-Generated Commit Adds PromptMink Malware to Crypto Trading Agent erschien zuerst bei Cyber Security News.