朝鲜新一轮攻击：利用 AI 植入 npm 恶意软件、虚假公司和远程访问木马

网络安全研究人员在一个 npm 软件包中发现了恶意代码，该恶意软件包作为依赖项被引入到由 Anthropic 公司的 Claude Opus 大语言模型（LLM）参与的项目中。

这个被质疑的软件包是 “@validate - sdk/v2”，在 npm 上它被列为一个用于哈希运算、验证、编码 / 解码以及安全随机数生成的实用软件开发工具包（SDK）。然而，其真正功能是从受感染环境中掠夺敏感机密信息。该软件包显示出利用生成式人工智能（AI）编写代码的迹象，于 2025 年 10 月首次上传至代码库。

ReversingLabs 将此次恶意软件攻击行动代号命名为 “PromptMink”，并认为这是朝鲜威胁行为者 “著名千里马”（又名 “狡猾海盗”）发起的更广泛攻击活动的一部分，“著名千里马” 正是长期运行的 “传染性面试” 活动以及欺诈性 “IT 工人” 骗局的幕后黑手。

ReversingLabs 研究员弗拉基米尔・佩佐（Vladimir Pezo）在与《黑客新闻》分享的一份报告中表示：“新的恶意软件攻击活动…… 涉及一个受污染的软件包，该软件包在 2 月 28 日对一个自主交易代理的提交中被引入。此次提交由 Anthropic 的 Claude Opus 大语言模型共同完成。它使攻击者能够访问用户的加密货币钱包和资金。”

该软件包被列为另一个名为 “@solana - launchpad/sdk” 的 npm 软件包的依赖项，而 “@solana - launchpad/sdk” 又被一个名为 “openpaw - graveyard” 的软件包使用。“openpaw - graveyard” 被描述为一个 “自主人工智能代理”，它使用 Tapestry 协议在 Solana 区块链上创建社交链上身份，通过 Bankr 进行加密货币交易，并与 Moltbook 上的其他代理进行交互。

ReversingLabs 称，2026 年 2 月的一次提交中，由人工智能代理生成的软件包作为依赖项被添加进来，导致代理软件包执行恶意代码，攻击者通过泄露的凭证获取受害者加密货币钱包和资金的访问权限。

此次攻击采用分阶段方式，第一层软件包不包含任何恶意代码，但会导入实际嵌入恶意功能的第二层软件包。如果第二层软件包被检测到或从 npm 上移除，它们会迅速被替换。

部分已识别的第一层软件包如下
@solana - launchpad/sdk
@meme - sdk/trade
@validate - ethereum - address/core
@solmasterv3/solana - metadata - sdk
@pumpfun - ipfs/sdk
@solana - ipfs/sdk

ReversingLabs 解释说：“它们实现了一些与加密货币相关的功能。每个软件包都列出了许多依赖项，其中大多数是下载量达数百万甚至数十亿的流行 npm 软件包，如 axios、bn.js 等。然而，有少数依赖项是来自第二层的恶意软件包。”

威胁行为者采用多种技术帮助恶意软件包逃避检测。其中包括创建已存在于列出的流行软件包中的函数的恶意版本。另一种技术是仿冒域名，即软件包的名称和描述模仿合法库。

作为此次攻击活动一部分发布到 npm 的首个软件包版本可追溯到 2025 年 9 月，当时 “@hash - validator/v2” 被上传至代码库。将加密货币窃取程序分为两部分 —— 一个良性诱饵用于下载实际恶意软件，这种决策可能有助于其逃避检测，并掩盖攻击的真实规模。

值得注意的是，两个月后 JFrog 记录了该活动的一些方面，强调威胁行为者利用传递依赖关系在开发者系统上执行恶意代码并虹吸有价值的数据。

在随后的几个月里，该攻击活动经历了各种变化，甚至在 2026 年 2 月针对 Python 软件包索引（PyPI）推出了具有相同功能的恶意软件包（“scraper - npm”）。就在上个月，还观察到威胁行为者通过 SSH 建立持久远程访问，并使用 Rust 编译的有效载荷从受感染系统中窃取包含源代码和其他知识产权的整个项目。

该恶意软件的早期版本是基于混淆 JavaScript 的窃取程序，它会递归扫描当前工作目录中的.env 或.json 文件，并准备将其泄露到 Vercel 网址（“ipfs - url - validator.vercel.app”），“著名千里马” 在其攻击活动中多次滥用这个平台。

虽然随后的版本以 Node.js 单可执行应用程序（SEA）的形式嵌入了 PromptMink，但它也有一个明显的缺点，即有效载荷大小从仅仅 5.1KB 增长到约 85MB。据说这导致威胁行为者转而使用 NAPI - RS 在 Rust 中创建预编译的 Node.js 附加组件。

该恶意软件从简单的信息窃取程序演变为针对 Windows、Linux 和 macOS 的专门多平台收集程序，能够植入 SSH 后门并收集整个项目，这表明朝鲜威胁行为者持续瞄准开源生态系统，以攻击 Web3 领域的开发者。

ReversingLabs 补充说：“‘著名千里马’正在利用人工智能生成的代码和分层软件包策略来逃避检测，并且比人类开发者更有效地欺骗自动化编码助手。”

“传染性交易者” 出现

这些发现与一个名为 “express - session - js” 的恶意 npm 软件包的发现相吻合，据信该软件包与 “传染性面试” 活动有关，该库充当了一个下载器的管道，从 JSON Keeper（一个粘贴服务）获取第二阶段混淆的有效载荷。

SafeDep 本月指出：“对第二阶段有效载荷的静态反混淆显示，这是一个完整的远程访问木马（RAT）和信息窃取程序，它通过 Socket.IO 连接到 216 [.] 126 [.] 237 [.] 71，具备浏览器凭证窃取、加密货币钱包提取、截图捕获、剪贴板监控、键盘记录以及远程鼠标 / 键盘控制等功能。”

有趣的是，使用 “socket.io - client” 等合法软件包进行命令与控制（C2）通信、“screenshot - desktop” 进行屏幕捕获、“sharp” 进行图像压缩以及 “clipboardy” 进行剪贴板访问，这与已知的 “OtterCookie” 窃取恶意软件的使用情况重叠，“OtterCookie” 也与该活动有关。

这次的新变化是增加了 “@nut - tree - fork/nut - js” 软件包用于鼠标和键盘控制，这表明攻击者试图更广泛地升级远程访问木马的功能，以便对受感染主机进行交互式控制。

就 “OtterCookie” 而言，它自身也在不断演变，通过托管在 Bitbucket 上的一个被植入木马的开源 3D 国际象棋项目以及 “gemini - ai - checker”、“express - flowlimit” 和 “chai - extensions - extras” 等恶意 npm 软件包进行分发。

作为名为 “传染性交易者” 活动的一部分，还采用了一种类似俄罗斯套娃的方法。攻击从下载一个良性包装软件包（例如 “bjs - biginteger”）开始，然后该软件包会下载一个恶意依赖项（例如 “bjs - lint - builder”），最终安装窃取程序。

“Graphalgo” 利用虚假公司植入远程访问木马

这一发展意义重大，因为该威胁行为者还同时与另一个正在进行的名为 “graphalgo” 的活动相关联。在这个活动中，攻击者利用虚假公司，通过虚假的工作面试和编码测试，诱使开发者将恶意 npm 软件包下载到他们的系统中。

该活动的过程如下：黑客在求职平台和社交网络上使用社会工程策略，诱使潜在目标下载托管在 GitHub 上的项目作为评估的一部分。这些项目反过来包含对发布在 npm 或 PyPI 上的恶意软件包的依赖项，其主要目标是在机器上部署远程访问木马（RAT）。

为了实施攻击，攻击者建立了一个虚假公司网络，并在 GitHub、领英（LinkedIn）和 X 等平台上创建令人信服的资料，以赋予其合法性的表象，使欺骗更具说服力。以 “Blocmerce” 为例，攻击者甚至在 2025 年 8 月在美国佛罗里达州以相同名称实际注册了一家有限责任公司（LLC）。用于前端网络钓鱼的一些公司名称如下：
Veltrix Capital
Blockmerce
Bridgers Finance

ReversingLabs 安全研究员卡洛・赞基（Karlo Zanki）表示：“这些组织链接到几个与区块链公司相关的 GitHub 组织，这些组织自 2025 年 6 月以来一直在 GitHub 上活跃。它们的目的是为虚假的工作机会提供可信度，并托管虚假的工作面试任务。”

最近的活动版本还采用了一种不同的技术来托管恶意依赖项。它们不是发布到 npm 或 PyPI 上，而是作为发布工件托管在 GitHub 存储库中，这可能是为了尽量降低被检测到的风险。

ReversingLabs 指出：“对恶意依赖项的引用深埋在传递依赖项列表中。package - lock.json 文件中的 resolved 字段指示软件包管理器从何处获取特定的软件包依赖项。虽然所有其他依赖项都从官方 npm 注册表中获取，但恶意依赖项直接从精心制作的 GitHub 存储库中的发布工件获取。”

以下是 npm 软件包列表：
graph - dynamic
graphbase - js
graphlib - js

攻击的最终结果是部署一个远程访问木马，它可以收集系统信息、枚举文件和目录、列出正在运行的进程、创建文件夹、重命名文件、删除文件以及上传 / 下载文件。

最近几周，一个被追踪为 UNC1069 的朝鲜国家支持的威胁集群也与最流行的 npm 软件包之一 “axios” 的泄露事件有关，这凸显了来自平壤的攻击者对开源存储库持续构成的威胁。

自那以后，此次泄露事件背后的攻击者发布了一个名为 “csec - crypto - utils” 的新 npm 软件包，其中包含一个 “更新的有效载荷”，将远程访问木马下载器替换为一个数据窃取程序，该程序将 AWS 密钥、GitHub 令牌和.npmrc 配置文件泄露到外部服务器（“csec - c2 - server.onrender [.] com”）。

Hunt.io 在详细说明供应链泄露事件的报告中，将此次攻击与 Lazarus Group 的一个子集群 “BlueNoroff” 联系起来，理由是基础设施重叠以及该远程访问木马与 “NukeSped” 相似。

ReversingLabs 表示：“威胁行为者使用先进的技术和策略，以及惊人的攻击活动准备程度（设立佛罗里达有限责任公司）和适应能力，使朝鲜威胁行为者成为专注于加密货币的组织或个体开发者面临的首要威胁。”