Nordkoreanische Akteure schleusen KI-generierte Malware in npm- und PyPI-Pakete

Zusammenfassung

Sicherheitsforscher von ReversingLabs haben eine Schadkampagne aufgedeckt, bei der bösartiger Code über das npm-Paket „@validate-sdk/v2" verteilt wurde. Das Paket gibt sich als Software-Development-Kit für Hashing, Validierung, Kodierung und sichere Zufallswerte aus, dient in Wirklichkeit aber dem Abgreifen sensibler Geheimnisse aus der kompromittierten Umgebung. Es wurde laut den Forschern erstmals im Oktober 2025 in die Registry hochgeladen und weist Anzeichen dafür auf, dass es mithilfe generativer KI erstellt wurde. ReversingLabs verknüpft die unter dem Namen PromptMink geführte Aktivität mit dem nordkoreanischen Bedrohungsakteur Famous Chollima (auch Shifty Corsair), der hinter der seit Langem laufenden Kampagne Contagious Interview und dem betrügerischen IT-Worker-Schema steht. Bemerkenswert ist, dass das schädliche Paket über einen Commit eingeschleust wurde, der laut ReversingLabs gemeinsam mit Anthropics großem Sprachmodell Claude Opus verfasst wurde — ein Commit zu einem autonomen Trading-Agenten. Über die kompromittierten Abhängigkeiten erhielten die Angreifer laut den Forschern Zugriff auf die Krypto-Wallets und Gelder der Opfer. Die Funde zeigen, wie konsequent nordkoreanische Akteure das Open-Source-Ökosystem ins Visier nehmen, um Entwickler im Web3-Umfeld anzugreifen.

Die Kampagne ist mehrstufig aufgebaut. Die Pakete der ersten Schicht enthalten selbst keinen Schadcode, importieren aber Pakete der zweiten Schicht, in denen die eigentliche Schadfunktion steckt. Wird diese zweite Gruppe erkannt oder aus npm entfernt, ersetzen die Angreifer sie umgehend. Die Pakete der ersten Ebene bilden Krypto-Funktionen ab und führen zahlreiche populäre Abhängigkeiten wie axios oder bn.js auf — darunter aber einige wenige bösartige Pakete der zweiten Schicht. Zur Tarnung setzen die Akteure laut ReversingLabs unter anderem auf manipulierte Versionen vorhandener Funktionen sowie auf Typosquatting, bei dem Namen und Beschreibungen legitimer Bibliotheken nachgeahmt werden.

Konkret ist „@validate-sdk/v2" als Abhängigkeit von „@solana-launchpad/sdk" gelistet, das wiederum von einem dritten Paket namens „openpaw-graveyard" genutzt wird — beschrieben als „autonomer KI-Agent", der über das Tapestry-Protokoll eine soziale On-Chain-Identität auf der Solana-Blockchain anlegt, via Bankr Kryptowährungen handelt und über Moltbook mit anderen Agenten interagiert. Die KI-generierten Pakete wurden laut ReversingLabs im Februar 2026 als Abhängigkeit hinzugefügt, wodurch das Agenten-Paket Schadcode ausführte und Angreifern über erbeutete Zugangsdaten Zugriff auf Wallets und Gelder verschaffte.

Die erste Paketversion der Kampagne reicht auf den September 2025 zurück, als „@hash-validator/v2" hochgeladen wurde. Die Aufteilung des Krypto-Stealers in einen harmlosen Köder, der die eigentliche Malware nachlädt, dürfte die Erkennung erschwert haben. Teile der Aktivität dokumentierte JFrog zwei Monate später und verwies auf die Nutzung transitiver Abhängigkeiten. Im Februar 2026 zielten die Akteure mit dem Paket „scraper-npm" auch auf den Python Package Index (PyPI); kürzlich wurde zudem beobachtet, wie sie über SSH dauerhaften Fernzugriff einrichteten und mit Rust-kompilierten Payloads ganze Projekte samt Quellcode exfiltrierten.

Frühe Versionen waren obfuskierte JavaScript-Stealer, die das Arbeitsverzeichnis rekursiv nach .env- oder .json-Dateien durchsuchten und Daten an eine Vercel-URL („ipfs-url-validator.vercel.app") sandten — eine von Famous Chollima wiederholt missbrauchte Plattform. Spätere Varianten betteten PromptMink als Node.js-Single-Executable-Application ein, was die Payload-Größe von 5,1 KB auf rund 85 MB anwachsen ließ; daraufhin wechselten die Akteure laut ReversingLabs zu NAPI-RS, um vorkompilierte Node.js-Add-ons in Rust zu erzeugen.

Parallel entdeckte SafeDep das npm-Paket „express-session-js", das mit Contagious Interview in Verbindung gebracht wird und als Dropper für eine zweite, obfuskierte Stufe vom Paste-Dienst JSON Keeper dient. Die statische Deobfuskierung offenbarte laut SafeDep einen vollwertigen Remote-Access-Trojaner und Infostealer, der sich über Socket.IO mit 216.126.237.71 verbindet und Browser-Zugangsdaten, Krypto-Wallets, Screenshots, Zwischenablage, Tastatureingaben sowie Maus- und Tastatursteuerung erfasst. Neu ist dabei das Paket „@nut-tree-fork/nut-js" zur Maus- und Tastatursteuerung, was auf erweiterte RAT-Fähigkeiten hindeutet. Überschneidungen bestehen mit OtterCookie, das unter anderem über ein trojanisiertes 3D-Schachprojekt auf Bitbucket verbreitet wurde.

Daneben verknüpft ReversingLabs den Akteur mit der Kampagne graphalgo, die Entwickler über gefälschte Firmen sowie vorgetäuschte Bewerbungsgespräche und Coding-Tests ködert. Für das Unternehmen Blocmerce registrierten die Angreifer im August 2025 sogar eine LLC im US-Bundesstaat Florida. Jüngere Varianten hosten die schädliche Abhängigkeit nicht mehr auf npm oder PyPI, sondern als Release-Artefakt in präparierten GitHub-Repositories, auf das das Feld „resolved" in der package-lock.json verweist.

In den vergangenen Wochen wurde zudem das Cluster UNC1069 mit der Kompromittierung des weit verbreiteten npm-Pakets „axios" in Verbindung gebracht. Seither veröffentlichten die Angreifer „csec-crypto-utils" mit aktualisierter Payload, die AWS-Schlüssel, GitHub-Tokens und .npmrc-Dateien an einen externen Server exfiltriert. Hunt.io ordnete den Lieferketten-Angriff dem Lazarus-Untercluster BlueNoroff zu und verwies auf Infrastruktur-Überschneidungen sowie Ähnlichkeiten des RAT mit NukeSped.

Nordkoreanische Akteure schleusen KI-generierte Malware in npm- und PyPI-Pakete

Ähnliche Artikel

Neueste Artikel