サイバーセキュリティ研究者らは、**Anthropic**のClaude Opus大規模言語モデル（LLM）によってプロジェクトへの依存関係として悪意のあるパッケージが追加された後、npmパッケージ内に悪意のあるコードを発見しました。 問題のパッケージは「[@validate-sdk/v2](https://www.npmjs.com/package/@validate-sdk/v2)」で、npm上ではハッシュ化、検証、エンコード/デコード、安全な乱数生成のためのユーティリティソフトウェア開発キット（SDK）としてリストされています。しかし、その実際の機能は、侵害された環境から機密性の高い情報を盗み出すことです。生成人工知能（AI）を使用して「vibe-coded」された兆候が見られるこのパッケージは、2025年10月に初めてリポジトリにアップロードされました。 ### PromptMinkキャンペーン このマルウェアキャンペーンは、**ReversingLabs**によって「**PromptMink**」と名付けられました。同社は、この活動を、長期間にわたる[Contagious Interview](https://thehackernews.com/2026/04/n-korean-hackers-spread-1700-malicious.html)キャンペーンや[詐欺的なITワーカー詐欺](https://thehackernews.com/2026/03/ofac-sanctions-dprk-it-worker-network.html)の背後にいる北朝鮮の脅威アクター「**Famous Chollima**」（別名Shifty Corsair）による広範なキャンペーンの一部として関連付けています。 「新しいマルウェアキャンペーンには、自律型取引エージェントへの2月28日のコミットで導入された汚染されたパッケージが含まれています」と、**ReversingLabs**の研究者であるVladimir Pezo氏は、The Hacker Newsと共有されたレポートで述べています。「このコミットは、**Anthropic**のClaude Opus大規模言語モデル（LLM）によって共同執筆されました。これにより、攻撃者はユーザーの仮想通貨ウォレットと資金にアクセスできるようになります。」 このパッケージは、「@solana-launchpad/sdk」という別のnpmパッケージの依存関係としてリストされており、さらにそのパッケージは「openpaw-graveyard」という3番目のパッケージによって使用されています。このパッケージは、[Tapestry Protocol](https://www.usetapestry.dev/)を使用してSolanaブロックチェーン上にソーシャルオンチェーンアイデンティティを作成し、[Bankr](https://bankr.bot/)経由で仮想通貨を取引し、[Moltbook](https://moltbook.com/)上の他のエージェントと対話する「自律型AIエージェント」として説明されています。 **ReversingLabs**によると、AIエージェント生成パッケージは2026年2月に行われたソースコードコミットで依存関係として追加され、エージェントパッケージが悪意のあるコードを実行し、漏洩した認証情報を通じて攻撃者に被害者の仮想通貨ウォレットと資金へのアクセスを許可しました。 この攻撃は段階的なアプローチを採用しており、第一層のパッケージには悪意のあるコードは含まれていませんが、実際に不正な機能が埋め込まれている第二層のパッケージをインポートします。第二層のパッケージが検出またはnpmから削除された場合、それらは迅速に置き換えられます。 特定された第一層のパッケージの一部を以下に示します。 * @solana-launchpad/sdk * @meme-sdk/trade * @validate-ethereum-address/core * @solmasterv3/solana-metadata-sdk * @pumpfun-ipfs/sdk * @solana-ipfs/sdk 「これらは仮想通貨に関連するいくつかの機能実装しています」と**ReversingLabs**は説明しています。「そして、各パッケージは多くの依存関係をリストしており、そのほとんどはaxios、bn.jsなど、ダウンロード数が数百万、数十億に達する人気のnpmパッケージです。しかし、依存関係のごく一部が第二層の悪意のあるパッケージです。」 脅威アクターは、不正なパッケージが検出を回避するのを助けるためにさまざまな技術を採用しています。これには、リストされている人気パッケージに既に存在する関数の悪意のあるバージョンを作成することが含まれます。別の技術は、名前と説明が正規のライブラリを模倣するタイポスクワッティングを使用します。 このキャンペーンの一部としてnpmに公開された最初のパッケージバージョンは、2025年9月に「@hash-validator/v2」がレジストリにアップロードされた時期に遡ります。仮想通貨ステイラーを、実際のマルウェアをダウンロードする無害な餌と実際のマルウェアの2つの部分に分割するという決定は、検出を回避し、攻撃の真の規模を隠蔽するのに役立った可能性があります。 興味深いことに、この活動のいくつかの側面は、2ヶ月後に**JFrog**によって文書化されており、脅威アクターが推移的依存関係を使用して開発者システム上で悪意のあるコードを実行し、貴重なデータを吸い上げていることが強調されています。 その後の数ヶ月で、キャンペーンはさまざまな変容を遂げ、2026年2月には同様の機能を持つ悪意のあるパッケージ（「scraper-npm」）をプッシュしてPython Package Index（PyPI）を標的にすることさえありました。わずか先月、脅威アクターはSSH経由で永続的なリモートアクセスを確立し、Rustでコンパイルされたペイロードを使用して、侵害されたシステムからソースコードやその他の知的財産を含むプロジェクト全体を流出させていることが観察されています。 マルウェアの初期バージョンは、現在の作業ディレクトリを再帰的にスキャンして.envまたは.jsonファイルを検索し、**Famous Chollima**がそのキャンペーンで繰り返し悪用してきたプラットフォームである**Vercel** URL（「ipfs-url-validator.vercel.app」）への流出を準備する、難読化されたJavaScriptベースのステイラーでした。 その後のイテレーションでは、Node.jsシングル実行可能アプリケーション（SEA）の形式で**PromptMink**が組み込まれましたが、ペイロードサイズがわずか5.1KBから約85MBに増加するという顕著な欠点もありました。これにより、脅威アクターはNAPI-RSを使用してRustで事前にコンパイルされたNode.jsアドオンを作成するように移行したと言われています。 単純なインフォステイラーから、Windows、Linux、macOSを標的とする専門的なマルチプラットフォームハーベスターへと進化し、SSHバックドアをドロップしてプロジェクト全体を収集できるようになったことは、北朝鮮の脅威アクターがオープンソースエコシステムを標的にし続け、Web3分野の開発者を標的にしていることを示しています。 **Famous Chollima**は、「AI生成コードと多層パッケージ戦略を活用して検出を回避し、人間の開発者よりも自動コーディングアシスタントをより効果的に欺いています」と**ReversingLabs**は付け加えています。 ### Contagious Traderの出現 この発見は、「express-session-js」という悪意のあるnpmパッケージの発見と一致しており、これはContagious Interviewキャンペーンに関連していると考えられています。このライブラリは、**JSON Keeper**というペーストサービスから第二段階の難読化されたペイロードを取得するドロッパーのコンジットとして機能します。 「ステージ2ペイロードの静的難読化解除により、216[.]126[.]237[.]71にSocket.IO経由で接続する完全なリモートアクセストロイの木馬（RAT）および情報ステイラーであることが明らかになり、ブラウザの認証情報窃盗、仮想通貨ウォレット抽出、スクリーンショットキャプチャ、クリップボード監視、キーロギング、リモートマウス/キーボード制御などの機能が含まれています」と**SafeDep**は今月指摘しています。 興味深いことに、コマンドアンドコントロール（C2）通信のための「socket.io-client」、画面キャプチャのための「screenshot-desktop」、画像圧縮のための「sharp」、クリップボードアクセス用の「clipboardy」などの正規のパッケージの使用は、キャンペーンに起因する既知のステイラーマルウェアである[OtterCookie](https://thehackernews.com/2025/05/ottercookie-v4-adds-vm-detection-and.html)の使用と重複しています。 今回新しいのは、マウスとキーボード制御のための「@nut-tree-fork/nut-js」パッケージが追加されたことであり、感染したホストの対話型制御を容易にするためにRAT機能を拡張しようとする広範な試みを示唆しています。 <table> <tbody><tr> <td><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjRjUFgbCaNbUIuMju-zOJxtlvn5SiiE2p6PCCFzacR7KSYNpgOYwePm8eCzIMMkNk4I9YsGf3ONdi2v8xVQ5fzj0PZ_186bF68mtd5WPC1-o-4zvvQhFwW6ZdRwp4hsAq6zLz5uutUK0trsbtS6h2HlwFXkjYdX5dJ5VVVBfZ_gvq9oIqLp9WBLf4MnTdX/s1600/otter.png"><img src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjRjUFgbCaNbUIuMju-zOJxtlvn5SiiE2p6PCCFzacR7KSYNpgOYwePm8eCzIMMkNk4I9YsGf3ONdi2v8xVQ5fzj0PZ_186bF68mtd5WPC1-o-4zvvQhFwW6ZdRwp4hsAq6zLz5uutUK0trsbtS6h2HlwFXkjYdX5dJ5VVVBfZ_gvq9oIqLp9WBLf4MnTdX/s1600/otter.png" data-original-width="720" data-original-height="406" alt=""></a></td> </tr> <tr> <td>OtterCookieの展開チェーン</td> </tr> </tbody></table> 一方、**OtterCookie**は独自の成熟を遂げており、**Bitbucket**でホストされている[トロイの木馬化されたオープンソース3Dチェスプロジェクト](https://blackpointcyber.com/blog/malicious-node-package-deploys-ottercookie/)や、「gemini-ai-checker」、「express-flowlimit」、「chai-extensions-extras」のような[悪意のあるnpmパッケージ](https://cyberandramen.net/2026/04/04/ottercookie-expands-targeting-to-ai-coding-tools-analysis-of-a-trojanized-npm-campaign/)を介して配布されています。 3番目の方法では、[Panther](https://panther.