Pesquisadores de cibersegurança descobriram código malicioso em um pacote npm após um pacote malicioso ser incluído como dependência em um projeto pelo modelo de linguagem grande (LLM) Claude Opus da **Anthropic**. O pacote em questão é "[@validate-sdk/v2](https://www.npmjs.com/package/@validate-sdk/v2)", listado no npm como um kit de desenvolvimento de software (SDK) utilitário para hashing, validação, codificação/decodificação e geração segura de números aleatórios. No entanto, sua funcionalidade real é saquear segredos sensíveis do ambiente comprometido. O pacote, que apresenta sinais de ter sido codificado com inteligência artificial (IA) generativa, foi carregado pela primeira vez no repositório em outubro de 2025. ### Campanha PromptMink A campanha de malware foi codinomeada **PromptMink** pela **ReversingLabs**, que vinculou a atividade como parte de uma campanha mais ampla montada pelo ator de ameaças norte-coreano conhecido como **Famous Chollima** (também conhecido como Shifty Corsair), que está por trás da campanha de longa data [Contagious Interview](https://thehackernews.com/2026/04/n-korean-hackers-spread-1700-malicious.html) e do [golpe fraudulento de trabalhadores de TI](https://thehackernews.com/2026/03/ofac-sanctions-dprk-it-worker-network.html). "A nova campanha de malware [...] envolve um pacote contaminado que foi introduzido em um commit de 28 de fevereiro em um agente de negociação autônomo", disse o pesquisador da **ReversingLabs**, Vladimir Pezo, em um relatório compartilhado com o The Hacker News. "O [commit foi coautorado](https://github.com/ExpertVagabond/openpaw-graveyard/commit/cd3c6ccbfe02a0fcf249fdcf67fd3ec351a7ed7c) pelo modelo de linguagem grande (LLM) Claude Opus da **Anthropic**. Ele permite que atacantes acessem carteiras e fundos de criptomoedas dos usuários." O pacote é listado como dependência de outro pacote npm chamado "[@solana-launchpad/sdk](https://www.npmjs.com/package/@solana-launchpad/sdk)", que, por sua vez, é usado por um terceiro pacote chamado "openpaw-graveyard" ([@openpaw-graveyard](https://www.npmjs.com/package/openpaw-graveyard)), descrito como um "agente autônomo de IA" que cria uma identidade social on-chain na blockchain Solana usando o [Tapestry Protocol](https://www.usetapestry.dev/), negocia criptomoedas via [Bankr](https://bankr.bot/), e interage com outros agentes no [Moltbook](https://moltbook.com/). A **ReversingLabs** informou que o pacote gerado pelo agente de IA foi adicionado como dependência em um commit de código-fonte feito em fevereiro de 2026, fazendo com que o pacote do agente executasse código malicioso e concedesse aos atacantes acesso via credenciais vazadas às carteiras e fundos de criptomoedas da vítima. O ataque adota uma abordagem em fases, onde os pacotes de primeira camada não contêm código malicioso, mas importam pacotes de segunda camada que realmente incorporam a funcionalidade nefasta. Caso o segundo cluster seja detectado ou removido do npm, eles são rapidamente substituídos. Alguns dos pacotes de primeira camada identificados são listados abaixo: * @solana-launchpad/sdk * @meme-sdk/trade * @validate-ethereum-address/core * @solmasterv3/solana-metadata-sdk * @pumpfun-ipfs/sdk * @solana-ipfs/sdk "Eles implementam alguma funcionalidade relacionada a criptomoedas", explicou a **ReversingLabs**. "E cada pacote lista muitas dependências, a maioria das quais são pacotes npm populares com contagens de download na casa dos milhões e bilhões, como axios, bn.js etc. No entanto, um pequeno número das dependências são pacotes maliciosos da segunda camada." Os atores de ameaças empregam várias técnicas para ajudar os pacotes maliciosos a escapar da detecção. Isso inclui a criação de uma versão maliciosa das funções já presentes nos pacotes populares listados. Outra técnica usa typosquatting, onde os nomes e descrições imitam bibliotecas legítimas. A primeira versão do pacote publicada no npm como parte desta campanha data de setembro de 2025, quando "@hash-validator/v2" foi carregado no registro. A decisão de dividir o ladrão de criptomoedas em duas partes – um chamariz benigno que baixa o malware real – pode ter ajudado a evadir a detecção e a ocultar a verdadeira escala do ataque. Vale notar que alguns aspectos da atividade foram [documentados](https://research.jfrog.com/post/new-crypto-stealer-npm/) pela **JFrog** dois meses depois, destacando o uso do ator de ameaças de dependências transitivas para executar código malicioso em sistemas de desenvolvedores e roubar dados valiosos. Nos meses seguintes, a campanha passou por várias transformações, chegando a atingir o Python Package Index (PyPI) com o carregamento de um pacote malicioso ("scraper-npm") com a mesma funcionalidade em fevereiro de 2026. Mais recentemente, no último mês, observou-se que os atores de ameaças estavam estabelecendo acesso remoto persistente via SSH e usando payloads compilados em Rust para exfiltrar projetos inteiros contendo código-fonte e outra propriedade intelectual de sistemas comprometidos. Versões iniciais do malware eram stealers baseados em JavaScript ofuscados que escaneiam o diretório de trabalho atual recursivamente em busca de arquivos .env ou .json e os preparam para exfiltração para um URL da **Vercel** ("ipfs-url-validator.vercel.app"), uma plataforma [repetidamente](https://thehackernews.com/2026/02/fake-nextjs-repos-target-developers.html)&nbsp;[abusada](https://thehackernews.com/2026/03/north-korean-hackers-abuse-vs-code-auto.html) pelo **Famous Chollima** em suas campanhas. Enquanto iterações subsequentes vieram incorporadas com **PromptMink** na forma de uma aplicação executável única Node.js (SEA), ela também sofreu uma desvantagem notável, pois fez com que o tamanho do payload crescesse de meros 5,1 KB para cerca de 85 MB. Diz-se que isso levou os atores de ameaças a mudar para o uso de [NAPI-RS](https://napi.rs/) para criar add-ons Node.js pré-compilados em Rust. A evolução do malware de um simples infostealer para um coletor multi-plataforma especializado visando Windows, Linux e macOS, capaz de instalar backdoors SSH e coletar projetos inteiros, demonstra o contínuo direcionamento dos atores de ameaças norte-coreanos ao ecossistema de código aberto para atingir desenvolvedores no espaço Web3. O **Famous Chollima** está "aproveitando código gerado por IA e uma estratégia de pacotes em camadas para evadir a detecção e enganar com mais eficácia os assistentes de codificação automatizados do que os desenvolvedores humanos", acrescentou a **ReversingLabs**. ### Contagious Trader Surge As descobertas coincidem com a descoberta de um pacote npm malicioso chamado "express-session-js" que se acredita estar ligado à campanha Contagious Interview, com a biblioteca atuando como um condutor para um dropper que busca um payload ofuscado de segunda etapa do **JSON Keeper**, um serviço de paste. "A desofuscação estática do payload de estágio 2 revela um Remote Access Trojan (RAT) completo e um ladrão de informações que se conecta a 216[.]126[.]237[.]71 via Socket.IO, com capacidades que incluem roubo de credenciais de navegador, extração de carteiras de criptomoedas, captura de tela, monitoramento da área de transferência, keylogging e controle remoto de mouse/teclado", observou a **SafeDep** [neste mês](https://safedep.io/malicious-npm-package-express-session-js/). Curiosamente, o uso de pacotes legítimos como "socket.io-client" para comunicação de comando e controle (C2), "screenshot-desktop" para captura de tela, "sharp" para compressão de imagem e "clipboardy" para acesso à área de transferência se sobrepõe ao de [OtterCookie](https://thehackernews.com/2025/05/ottercookie-v4-adds-vm-detection-and.html), um conhecido malware stealer atribuído à campanha. O que é novidade desta vez é a adição do pacote "@nut-tree-fork/nut-js" para controle de mouse e teclado, sugerindo tentativas mais amplas de aprimorar as capacidades do RAT para facilitar o controle interativo de hosts infectados. <table> <tbody><tr> <td><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjRjUFgbCaNbUIuMju-zOJxtlvn5SiiE2p6PCCFzacR7KSYNpgOYwePm8eCzIMMkNk4I9YsGf3ONdi2v8xVQ5fzj0PZ_186bF68mtd5WPC1-o-4zvvQhFwW6ZdRwp4hsAq6zLz5uutUK0trsbtS6h2HlwFXkjYdX5dJ5VVVBfZ_gvq9oIqLp9WBLf4MnTdX/s1600/otter.png"><img src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjRjUFgbCaNbUIuMju-zOJxtlvn5SiiE2p6PCCFzacR7KSYNpgOYwePm8eCzIMMkNk4I9YsGf3ONdi2v8xVQ5fzj0PZ_186bF68mtd5WPC1-o-4zvvQhFwW6ZdRwp4hsAq6zLz5uutUK0trsbtS6h2HlwFXkjYdX5dJ5VVVBfZ_gvq9oIqLp9WBLf4MnTdX/s1600/otter.png" data-original-width="720" data-original-height="406" alt=""></a></td> </tr> <tr> <td>Cadeia de implantação do OtterCookie</td> </tr> </tbody></table> O **OtterCookie**, por sua vez, testemunhou uma maturação própria, sendo distribuído através de um [projeto de xadrez 3D de código aberto trojanizado](https://blackpointcyber.com/blog/malicious-node-package-deploys-ottercookie/) hospedado no **Bitbucket** e [pacotes npm maliciosos](https://cyberandramen.net/2026/04/04/ottercookie-expands-targeting-to-ai-coding-tools-analysis-of-a-trojanized-npm-campaign/) como "gemini-ai-checker", "express-flowlimit" e "chai-extensions-extras". Um terceiro método empregou uma abordagem de Matryoshka Doll como [parte](https://medium.com/walmartglobaltech/mapping-ottercookie-infrastructure-1c49f0cd3883) de um [Panther](https://panther.