Cybersicherheitsforscher haben bösartigen Code in einem npm-Paket entdeckt, nachdem ein bösartiges Paket als Abhängigkeit für ein Projekt des großen Sprachmodells (LLM) **Claude Opus** von **Anthropic** eingeführt wurde. Das betreffende Paket ist "[@validate-sdk/v2](https://www.npmjs.com/package/@validate-sdk/v2)", das auf npm als Utility Software Development Kit (SDK) für Hashing, Validierung, Kodierung/Dekodierung und sichere Zufallsgenerierung aufgeführt ist. Seine eigentliche Funktionalität besteht jedoch darin, sensible Geheimnisse aus der kompromittierten Umgebung zu plündern. Das Paket, das Anzeichen dafür aufweist, mit generativer künstlicher Intelligenz (KI) erstellt worden zu sein, wurde erstmals im Oktober 2025 im Repository hochgeladen. ### PromptMink-Kampagne Die Malware-Kampagne wurde von **ReversingLabs** unter dem Codenamen **PromptMink** versehen. Sie ordnete die Aktivität einer breiteren Kampagne des nordkoreanischen Akteurs **Famous Chollima** (auch bekannt als Shifty Corsair) zu, der hinter der langjährigen [Contagious Interview](https://thehackernews.com/2026/04/n-korean-hackers-spread-1700-malicious.html)-Kampagne und dem [Betrug mit IT-Arbeitern](https://thehackernews.com/2026/03/ofac-sanctions-dprk-it-worker-network.html) steckt. "Die neue Malware-Kampagne [...] beinhaltet ein kompromittiertes Paket, das in einem Commit vom 28. Februar in einen autonomen Trading-Agenten eingeführt wurde", sagte **ReversingLabs**-Forscher Vladimir Pezo [in einem Bericht](https://www.reversinglabs.com/blog/claude-promptmink-malware-crypto), der mit The Hacker News geteilt wurde. "Der [Commit wurde von Anthropic's Claude Opus LLM mitautorisiert](https://github.com/ExpertVagabond/openpaw-graveyard/commit/cd3c6ccbfe02a0fcf249fdcf67fd3ec351a7ed7c). Er ermöglicht Angreifern den Zugriff auf die Krypto-Wallets und Gelder der Benutzer." Das Paket ist als Abhängigkeit für ein anderes npm-Paket namens "[@solana-launchpad/sdk](https://www.npmjs.com/package/@solana-launchpad/sdk)" aufgeführt, das wiederum von einem dritten Paket namens "[openpaw-graveyard](https://www.npmjs.com/package/openpaw-graveyard)" verwendet wird. Dieses wird als "autonomer KI-Agent" beschrieben, der eine soziale On-Chain-Identität auf der Solana-Blockchain mithilfe des [Tapestry Protocol](https://www.usetapestry.dev/) erstellt, Kryptowährungen über [Bankr](https://bankr.bot/) handelt und mit anderen Agenten auf [Moltbook](https://moltbook.com/) interagiert. **ReversingLabs** gab an, dass das von KI-Agenten generierte Paket in einem Quellcode-Commit vom Februar 2026 als Abhängigkeit hinzugefügt wurde, wodurch das Agentenpaket bösartigen Code ausführte und Angreifern über kompromittierte Anmeldeinformationen Zugriff auf die Kryptowährungs-Wallets und Gelder des Opfers ermöglichte. Der Angriff verfolgt einen mehrstufigen Ansatz, bei dem die Pakete der ersten Ebene keinen bösartigen Code enthalten, sondern Pakete der zweiten Ebene importieren, die tatsächlich die schädliche Funktionalität einbetten. Sollte der zweite Cluster erkannt oder aus npm entfernt werden, werden sie schnell ersetzt. Einige der identifizierten Pakete der ersten Ebene sind unten aufgeführt: * @solana-launchpad/sdk * @meme-sdk/trade * @validate-ethereum-address/core * @solmasterv3/solana-metadata-sdk * @pumpfun-ipfs/sdk * @solana-ipfs/sdk "Sie implementieren einige Funktionalitäten im Zusammenhang mit Kryptowährungen", erklärte **ReversingLabs**. "Und jedes Paket listet viele Abhängigkeiten auf, von denen die meisten beliebte npm-Pakete mit Downloadzahlen in Millionen- und Milliardenhöhe sind, wie axios, bn.js usw. Eine kleine Anzahl der Abhängigkeiten sind jedoch bösartige Pakete aus der zweiten Ebene." Die Bedrohungsakteure setzen verschiedene Techniken ein, um zu verhindern, dass die bösartigen Pakete entdeckt werden. Dazu gehört die Erstellung einer bösartigen Version von Funktionen, die bereits in den aufgeführten beliebten Paketen vorhanden sind. Eine weitere Technik nutzt Typosquatting, bei der die Namen und Beschreibungen legitime Bibliotheken nachahmen. Die erste Paketversion, die im Rahmen dieser Kampagne auf npm veröffentlicht wurde, stammt aus dem September 2025, als "@hash-validator/v2" in die Registry hochgeladen wurde. Die Entscheidung, den Kryptowährungs-Dieb in zwei Teile zu zerlegen – einen harmlosen Köder, der die eigentliche Malware herunterlädt – hat ihm möglicherweise geholfen, der Erkennung zu entgehen und das wahre Ausmaß des Angriffs zu verbergen. Es ist erwähnenswert, dass einige Aspekte der Aktivität zwei Monate später von **JFrog** [dokumentiert wurden](https://research.jfrog.com/post/new-crypto-stealer-npm/), was die Verwendung von transitiven Abhängigkeiten durch den Bedrohungsakteur zur Ausführung von bösartigem Code auf Entwicklersystemen und zum Abgreifen wertvoller Daten hervorhebt. In den folgenden Monaten hat die Kampagne verschiedene Transformationen durchlaufen und sogar den Python Package Index (PyPI) ins Visier genommen, indem sie im Februar 2026 ein bösartiges Paket ("scraper-npm") mit derselben Funktionalität einspielte. Noch im letzten Monat wurden Bedrohungsakteure dabei beobachtet, wie sie persistenten Fernzugriff über SSH einrichteten und mit Rust kompilierte Payloads verwendeten, um ganze Projekte mit Quellcode und anderem geistigen Eigentum von kompromittierten Systemen zu exfiltrieren. Frühe Versionen der Malware waren obfuskierte JavaScript-basierte Diebe, die das aktuelle Arbeitsverzeichnis rekursiv nach .env- oder .json-Dateien durchsuchten und diese zur Exfiltration an eine **Vercel**-URL ("ipfs-url-validator.vercel.app") vorbereiteten, eine Plattform, die von **Famous Chollima** in seinen Kampagnen [wiederholt missbraucht wurde](https://thehackernews.com/2026/02/fake-nextjs-repos-target-developers.html)&nbsp;[und](https://thehackernews.com/2026/03/north-korean-hackers-abuse-vs-code-auto.html) wurde. Während spätere Iterationen **PromptMink** in Form einer Node.js Single Executable Application (SEA) enthielten, litt diese auch unter dem Nachteil, dass die Payload-Größe von nur 5,1 KB auf etwa 85 MB anwuchs. Dies veranlasste die Bedrohungsakteure angeblich, auf die Verwendung von [NAPI-RS](https://napi.rs/) umzusteigen, um vorkompilierte Node.js-Add-ons in Rust zu erstellen. Die Entwicklung der Malware von einem einfachen Infostealer zu einem spezialisierten Multi-Plattform-Harvester, der Windows, Linux und macOS ins Visier nimmt und SSH-Backdoors ablegen und ganze Projekte sammeln kann, zeigt das anhaltende Targeting des Open-Source-Ökosystems durch nordkoreanische Bedrohungsakteure, um Entwickler im Web3-Bereich anzugreifen. **Famous Chollima** "nutzt KI-generierten Code und eine mehrstufige Paketstrategie, um der Erkennung zu entgehen und automatisierte Coding-Assistenten effektiver zu täuschen als menschliche Entwickler", fügte **ReversingLabs** hinzu. ### Contagious Trader taucht auf Die Ergebnisse fallen mit der Entdeckung eines bösartigen npm-Pakets namens "express-session-js" zusammen, das vermutlich mit der Contagious Interview-Kampagne in Verbindung steht. Die Bibliothek fungiert als Kanal für einen Dropper, der eine obfuskierte Payload der zweiten Stufe von **JSON Keeper**, einem Paste-Dienst, abruft. "Die statische Deobfuskation der Stage-2-Payload enthüllt einen vollständigen Remote Access Trojan (RAT) und Information Stealer, der sich über Socket.IO mit 216[.]126[.]237[.]71 verbindet, mit Funktionen wie Diebstahl von Browser-Anmeldeinformationen, Extraktion von Krypto-Wallets, Erfassung von Screenshots, Überwachung der Zwischenablage, Keylogging und Fernsteuerung von Maus/Tastatur", bemerkte **SafeDep** [diesen Monat](https://safedep.io/malicious-npm-package-express-session-js/). Interessanterweise überschneiden sich die Verwendung legitimer Pakete wie "socket.io-client" für die Befehls- und Kontrollkommunikation (C2), "screenshot-desktop" für die Bildschirmaufnahme, "sharp" für die Bildkomprimierung und "clipboardy" für den Zugriff auf die Zwischenablage mit denen von [OtterCookie](https://thehackernews.com/2025/05/ottercookie-v4-adds-vm-detection-and.html), einer bekannten Stealer-Malware, die der Kampagne zugeschrieben wird. Neu ist diesmal die Hinzufügung des Pakets "@nut-tree-fork/nut-js" zur Steuerung von Maus und Tastatur, was auf breitere Versuche hindeutet, die RAT-Fähigkeiten zu verbessern, um eine interaktive Steuerung infizierter Hosts zu ermöglichen. <table> <tbody><tr> <td><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjRjUFgbCaNbUIuMju-zOJxtlvn5SiiE2p6PCCFzacR7KSYNpgOYwePm8eCzIMMkNk4I9YsGf3ONdi2v8xVQ5fzj0PZ_186bF68mtd5WPC1-o-4zvvQhFwW6ZdRwp4hsAq6zLz5uutUK0trsbtS6h2HlwFXkjYdX5dJ5VVVBfZ_gvq9oIqLp9WBLf4MnTdX/s1600/otter.png"><img src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjRjUFgbCaNbUIuMju-zOJxtlvn5SiiE2p6PCCFzacR7KSYNpgOYwePm8eCzIMMkNk4I9YsGf3ONdi2v8xVQ5fzj0PZ_186bF68mtd5WPC1-o-4zvvQhFwW6ZdRwp4hsAq6zLz5uutUK0trsbtS6h2HlwFXkjYdX5dJ5VVVBfZ_gvq9oIqLp9WBLf4MnTdX/s1600/otter.png" data-original-width="720" data-original-height="406" alt=""></a></td> </tr> <tr> <td>OtterCookie Deployment Chain</td> </tr> </tbody></table> **OtterCookie** hat seinerseits eine Weiterentwicklung erfahren und wird über ein [trojanisiertes Open-Source-3D-Schachprojekt](https://blackpointcyber.com/blog/malicious-node-package-deploys-ottercookie/), das auf **Bitbucket** gehostet wird, und [bösartige npm-Pakete](https://cyberandramen.net/2026/04/04/ottercookie-expands-targeting-to-ai-coding-tools-analysis-of-a-trojanized-npm-campaign/) wie "gemini-ai-checker", "express-flowlimit" und "chai-extensions-extras" verbreitet. Eine dritte Methode hat einen Matrjoschka-Puppen-Ansatz verfolgt, als [Teil](https://medium.com/walmartglobaltech/mapping-ottercookie-infrastructure-1c49f0cd3883) eines [Panther](https://panther.