Des chercheurs en cybersécurité ont découvert du code malveillant dans un package npm après qu'un package malveillant a été utilisé comme dépendance pour un projet par le grand modèle linguistique (LLM) Claude Opus d'**Anthropic**. Le package en question est "[@validate-sdk/v2](https://www.npmjs.com/package/@validate-sdk/v2)", qui est répertorié sur npm comme un kit de développement logiciel (SDK) utilitaire pour le hachage, la validation, l'encodage/décodage et la génération aléatoire sécurisée. Cependant, sa véritable fonctionnalité est de piller des secrets sensibles de l'environnement compromis. Le package, qui montre des signes d'avoir été codé à l'aide d'intelligence artificielle générative (IA), a été téléchargé pour la première fois dans le dépôt en octobre 2025. ### Campagne PromptMink La campagne de malware a été nommée **PromptMink** par **ReversingLabs**, qui a lié l'activité à une campagne plus large menée par l'acteur de menace nord-coréen connu sous le nom de **Famous Chollima** (alias Shifty Corsair), qui est à l'origine de la campagne de longue date [Contagious Interview](https://thehackernews.com/2026/04/n-korean-hackers-spread-1700-malicious.html) et de [l'arnaque frauduleuse d'employés IT](https://thehackernews.com/2026/03/ofac-sanctions-dprk-it-worker-network.html). "La nouvelle campagne de malware [...] implique un package corrompu qui a été introduit dans un commit du 28 février dans un agent de trading autonome", a déclaré [Vladimir Pezo](https://www.reversinglabs.com/blog/claude-promptmink-malware-crypto), chercheur chez **ReversingLabs**, dans un rapport partagé avec The Hacker News. "Le [commit a été co-signé](https://github.com/ExpertVagabond/openpaw-graveyard/commit/cd3c6ccbfe02a0fcf249fdcf67fd3ec351a7ed7c) par le grand modèle linguistique (LLM) Claude Opus d'**Anthropic**. Il permet aux attaquants d'accéder aux portefeuilles et aux fonds de cryptomonnaies des utilisateurs." Le package est répertorié comme une dépendance pour un autre package npm nommé "[@solana-launchpad/sdk](https://www.npmjs.com/package/@solana-launchpad/sdk)", qui, à son tour, est utilisé par un troisième package appelé "[openpaw-graveyard](https://www.npmjs.com/package/openpaw-graveyard)", décrit comme un "agent IA autonome" qui crée une identité sociale on-chain sur la blockchain Solana en utilisant le [Tapestry Protocol](https://www.usetapestry.dev/), échange des cryptomonnaies via [Bankr](https://bankr.bot/), et interagit avec d'autres agents sur [Moltbook](https://moltbook.com/). **ReversingLabs** a indiqué que le package généré par l'agent IA a été ajouté comme dépendance dans un commit de code source effectué en février 2026, provoquant l'exécution de code malveillant par le package de l'agent et donnant aux attaquants un accès via des identifiants divulgués aux portefeuilles et aux fonds de cryptomonnaies de la victime. L'attaque adopte une approche par phases, où les packages de première couche ne contiennent aucun code malveillant, mais importent des packages de deuxième couche qui intègrent la fonctionnalité néfaste. Si le deuxième cluster est détecté ou supprimé de npm, il est rapidement remplacé. Certains des packages de première couche identifiés sont listés ci-dessous : * @solana-launchpad/sdk * @meme-sdk/trade * @validate-ethereum-address/core * @solmasterv3/solana-metadata-sdk * @pumpfun-ipfs/sdk * @solana-ipfs/sdk "Ils implémentent certaines fonctionnalités liées aux cryptomonnaies", a expliqué **ReversingLabs**. "Et chaque package liste de nombreuses dépendances, dont la plupart sont des packages npm populaires avec des millions et des milliards de téléchargements, comme axios, bn.js, etc. Cependant, un petit nombre de dépendances sont des packages malveillants de la deuxième couche." Les acteurs de la menace emploient diverses techniques pour aider les packages pirates à échapper à la détection. Celles-ci incluent la création d'une version malveillante des fonctions déjà présentes dans les packages populaires listés. Une autre technique utilise le typosquatting, où les noms et descriptions imitent des bibliothèques légitimes. La première version du package publiée sur npm dans le cadre de cette campagne remonte à septembre 2025, lorsque "@hash-validator/v2" a été téléchargé dans le registre. La décision de diviser le voleur de cryptomonnaies en deux parties – un appât bénin qui télécharge le malware réel – a pu l'aider à échapper à la détection et à dissimuler la véritable ampleur de l'attaque. Il convient de noter que certains aspects de l'activité ont été [documentés](https://research.jfrog.com/post/new-crypto-stealer-npm/) par **JFrog** deux mois plus tard, soulignant l'utilisation par l'acteur de menace des dépendances transitives pour exécuter du code malveillant sur les systèmes des développeurs et siphonner des données précieuses. Au cours des mois suivants, la campagne a subi diverses transformations, ciblant même le Python Package Index (PyPI) en téléchargeant un package malveillant ("scraper-npm") avec la même fonctionnalité en février 2026. Le mois dernier encore, des acteurs de la menace ont été observés établissant un accès à distance persistant via SSH et utilisant des payloads compilés en Rust pour exfiltrer des projets entiers contenant du code source et d'autres propriétés intellectuelles à partir de systèmes compromis. Les premières versions du malware étaient des stealers basés sur JavaScript obfusqué qui scannent le répertoire de travail actuel de manière récursive à la recherche de fichiers .env ou .json et les préparent pour exfiltration vers une URL **Vercel** ("ipfs-url-validator.vercel.app"), une plateforme [fréquemment](https://thehackernews.com/2026/02/fake-nextjs-repos-target-developers.html)&nbsp;[exploitée](https://thehackernews.com/2026/03/north-korean-hackers-abuse-vs-code-auto.html) par **Famous Chollima** dans ses campagnes. Alors que les itérations ultérieures étaient intégrées avec **PromptMink** sous la forme d'une application exécutable unique Node.js (SEA), elle présentait également un inconvénient notable en ce sens qu'elle faisait passer la taille du payload de seulement 5,1 Ko à environ 85 Mo. Cela aurait conduit les acteurs de la menace à passer à l'utilisation de [NAPI-RS](https://napi.rs/) pour créer des modules complémentaires Node.js pré-compilés en Rust. L'évolution du malware, d'un simple infostealer à un récolteur multiplateforme spécialisé ciblant Windows, Linux et macOS, capable de déployer des backdoors SSH et de collecter des projets entiers, démontre que les acteurs de menace nord-coréens continuent de cibler l'écosystème open-source pour atteindre les développeurs dans l'espace Web3. **Famous Chollima** "exploite du code généré par l'IA et une stratégie de packages en couches pour échapper à la détection et tromper plus efficacement les assistants de codage automatisés que les développeurs humains", a ajouté **ReversingLabs**. ### Contagious Trader Émerge Les découvertes coïncident avec la découverte d'un package npm malveillant nommé "express-session-js" qui est soupçonné d'être lié à la campagne Contagious Interview, la bibliothèque agissant comme un conduit pour un dropper qui récupère un payload obfusqué de second niveau depuis **JSON Keeper**, un service de paste. "La dés-obfuscation statique du payload de niveau 2 révèle un Remote Access Trojan (RAT) complet et un voleur d'informations qui se connecte à 216[.]126[.]237[.]71 via Socket.IO, avec des capacités incluant le vol d'identifiants de navigateur, l'extraction de portefeuilles de cryptomonnaies, la capture d'écran, la surveillance du presse-papiers, la journalisation des frappes et le contrôle à distance de la souris/clavier", a noté **SafeDep** [ce mois-ci](https://safedep.io/malicious-npm-package-express-session-js/). Fait intéressant, l'utilisation de packages légitimes comme "socket.io-client" pour la communication de commande et de contrôle (C2), "screenshot-desktop" pour la capture d'écran, "sharp" pour la compression d'images et "clipboardy" pour l'accès au presse-papiers chevauche celle d'[OtterCookie](https://thehackernews.com/2025/05/ottercookie-v4-adds-vm-detection-and.html), un malware voleur connu attribué à la campagne. Ce qui est nouveau cette fois-ci, c'est l'ajout du package "@nut-tree-fork/nut-js" pour le contrôle de la souris et du clavier, suggérant des tentatives plus larges d'amélioration des capacités du RAT pour faciliter le contrôle interactif des hôtes infectés. <table> <tbody><tr> <td><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjRjUFgbCaNbUIuMju-zOJxtlvn5SiiE2p6PCCFzacR7KSYNpgOYwePm8eCzIMMkNk4I9YsGf3ONdi2v8xVQ5fzj0PZ_186bF68mtd5WPC1-o-4zvvQhFwW6ZdRwp4hsAq6zLz5uutUK0trsbtS6h2HlwFXkjYdX5dJ5VVVBfZ_gvq9oIqLp9WBLf4MnTdX/s1600/otter.png"><img src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjRjUFgbCaNbUIuMju-zOJxtlvn5SiiE2p6PCCFzacR7KSYNpgOYwePm8eCzIMMkNk4I9YsGf3ONdi2v8xVQ5fzj0PZ_186bF68mtd5WPC1-o-4zvvQhFwW6ZdRwp4hsAq6zLz5uutUK0trsbtS6h2HlwFXkjYdX5dJ5VVVBfZ_gvq9oIqLp9WBLf4MnTdX/s1600/otter.png" data-original-width="720" data-original-height="406" alt=""></a></td> </tr> <tr> <td>Chaîne de déploiement OtterCookie</td> </tr> </tbody></table> **OtterCookie**, pour sa part, a vu sa propre maturation, étant distribué via un [projet d'échecs 3D open-source trojanisé](https://blackpointcyber.com/blog/malicious-node-package-deploys-ottercookie/) hébergé sur **Bitbucket** et [des packages npm malveillants](https://cyberandramen.net/2026/04/04/ottercookie-expands-targeting-to-ai-coding-tools-analysis-of-a-trojanized-npm-campaign/) comme "gemini-ai-checker", "express-flowlimit" et "chai-extensions-extras". Une troisième méthode a employé une approche de poupée russe Matryoshka dans le cadre [d'une partie](https://medium.com/walmartglobaltech/mapping-ottercookie-infrastructure-1c49f0cd3883) d'une [Panther](https://panther.