Eine neu analysierte Kampagne mit dem Codenamen PromptMink zeigt, wie gezielt staatlich gesteuerte Akteure die Open-Source-Supply-Chain ausnutzen, um Entwickler in der Krypto- und Web3-Szene anzugreifen. Im Zentrum steht ein bösartiges npm-Paket @validate-sdk/v2, das sich als harmloses Utility-SDK tarnt, tatsächlich jedoch Zugangsdaten, Umgebungsvariablen und letztlich Kryptowährungs-Wallets kompromittiert. Die Aktivitäten werden der nordkoreanischen Gruppe Famous Chollima (alias Shifty Corsair) zugeordnet, die bereits aus Kampagnen wie Contagious Interview bekannt ist.
Neue npm-Malware im Open-Source-Ökosystem: Angriff auf Web3 und Solana
Das Paket @validate-sdk/v2 wird auf npm als Bibliothek für Hashing, Encoding und Zufallszahlengenerierung beschrieben. Im Hintergrund enthält es jedoch Funktionen zum Sammeln und Exfiltrieren sensibler Daten aus der Entwicklungsumgebung, darunter Konfigurationsdateien, API-Keys und Wallet-Zugänge. Ein Teil des Codes weist typische Muster von generativer KI auf, was die Tarnung als legitimes, schnell entwickeltes Projekt erleichtert.
Besonders kritisch: Der schädliche Code wurde über die Abhängigkeit @solana-launchpad/sdk in das Solana-Ökosystem eingebracht und gelangte von dort in das Projekt openpaw-graveyard – einen autonomen KI-Agenten, der on-chain-Identitäten über Tapestry Protocol erstellt, über Bankr handelt und mit anderen Agenten in Moltbook interagiert. Nach einem simplen Update der Abhängigkeiten führte der Agent unbemerkt Malware aus, sodass kompromittierte Zugangsdaten zu einer direkten Gefährdung von Krypto-Wallets und Nutzervermögen führten.
Mehrstufige Abhängigkeitsketten als Tarnung der Supply-Chain-Attacke
PromptMink setzt auf eine mehrschichtige Struktur. Auf der ersten Ebene stehen scheinbar unauffällige npm-Pakete, die gängige Krypto-Funktionen implementieren und ihrerseits von weit verbreiteten Bibliotheken wie axios oder bn.js abhängen. Zwischen zahlreichen legitimen Dependencies verbergen sich wenige Pakete zweiter Ebene, in denen der eigentliche Schadcode steckt.
Wird ein bösartiges Paket entdeckt und aus dem Registry entfernt, erscheint rasch eine leicht veränderte Variante. Ergänzend nutzen die Angreifer Typosquatting – also Paketnamen und Beschreibungen, die legitimen Bibliotheken stark ähneln – sowie manipulierte “Drop-in”-Alternativen zu populären Funktionen, die im Hintergrund schädliche Routinen ausführen. Dieses Vorgehen erschwert statische Analysen und automatisierte Blocklisten erheblich.
Evolution von PromptMink: vom JavaScript-Stealer zum Rust-basierten Infostealer
Frühe Spuren der Kampagne reichen laut Analysen bis September 2025 zurück, als auf npm das Paket @hash-validator/v2 auftauchte. Die erste Payload war ein stark verschleierter JavaScript-Infostealer, der rekursiv Projektverzeichnisse nach .env– und .json-Dateien durchsuchte und diese an eine von den Angreifern kontrollierte Domain auf der Hosting-Plattform Vercel sendete – eine Infrastruktur, die bereits in früheren Operationen von Famous Chollima aufgefallen war.
Anschließend wechselten die Operatoren zu Node.js Single Executable Applications (SEA), bei denen die Payload in ein einzelnes Binärfile eingebettet wird. Der starke Größenzuwachs von rund 5,1 KB auf etwa 85 MB machte diese Binaries jedoch leichter erkennbar. Als Reaktion implementierten die Angreifer den Stealer mit NAPI-RS und Rust als vorcompiliertes natives Modul. Das Ergebnis ist ein kompakter, plattformübergreifender Infostealer (Windows, Linux, macOS), der neben Credential-Diebstahl auch SSH-Backdoors einrichtet und komplette Quellcode-Repositories mitsamt geistigem Eigentum ausleiten kann.
Gezielte Social-Engineering-Attacken auf Entwickler über Fake-Jobs
PromptMink ist eng mit den Kampagnen Contagious Interview, Contagious Trader und graphalgo verknüpft, die sich primär gegen Web3- und Blockchain-Entwickler richten. Im Fokus stehen Fachkräfte auf Jobsuche: Die Angreifer bauen Scheinunternehmen mit glaubwürdigen Profilen auf GitHub, LinkedIn und X auf und registrieren teilweise sogar echte Firmen, etwa Blocmerce LLC in Florida.
Opfer erhalten im Rahmen vermeintlicher Bewerbungsprozesse ein „technisches Testprojekt“, das von GitHub heruntergeladen werden soll. In diesem Projekt ist tief in der transitiven Abhängigkeitskette ein bösartiges npm- oder PyPI-Paket beziehungsweise ein GitHub-Release-Artefakt versteckt. Im package-lock.json verweist das Feld resolved nicht auf das offizielle Registry, sondern auf ein manipuliertes Repository. Nach dem Build-Prozess wird schließlich ein Remote Access Trojan (RAT) nachgeladen, der Systeminformationen sammelt, Dateien und Prozesse enumeriert, Daten exfiltriert und das kompromittierte Entwickler-System fernsteuern kann.
Verwandte Angriffe: OtterCookie, express-session-js und BlueNoroff-Aktivitäten
Parallel wurden Kampagnen beobachtet, in denen das Paket express-session-js als Loader für eine zweite Stufe dient – einen obfuskierten RAT und Infostealer. Dabei verwenden die Angreifer legitime Bibliotheken wie socket.io-client (für Command-and-Control), screenshot-desktop, sharp und clipboardy, was funktional starke Überschneidungen mit dem bekannten Stealer OtterCookie aufweist. Neu ist der Einsatz von @nut-tree-fork/nut-js, der Remote-Steuerung von Maus und Tastatur erlaubt und interaktive Kontrolle über kompromittierte Systeme ermöglicht.
Ein weiterer nordkoreanischer Cluster, UNC1069, wurde mit der Kompromittierung des populären HTTP-Clients axios in Verbindung gebracht. Nach Aufdeckung veröffentlichten die Angreifer das Paket csec-crypto-utils, das statt eines RAT als reiner Stealer fungierte und gezielt AWS-Zugangsdaten, GitHub-Tokens sowie .npmrc-Konfigurationen entwendete. Infrastrukturmerkmale verknüpfen diese Aktivitäten mit BlueNoroff, einer Untereinheit der Lazarus-Gruppe, die laut Berichten von Sicherheitsbehörden seit Jahren für finanzmotivierte Cyberoperationen im Kryptoumfeld verantwortlich ist.
Implikationen für Open-Source-Security und empfohlene Schutzmaßnahmen
Die Kampagne unterstreicht die Reife nordkoreanischer Cyberoperationen: Weg von rein statischer Obfuskation hin zu ständig wechselnden Techniken, Missbrauch legitimer Plattformen wie npm, PyPI, GitHub und Vercel sowie zunehmender Einsatz von KI-generiertem Code. Studien wie der „State of the Software Supply Chain“-Report von Sonatype zeigen, dass die Zahl bösartiger Open-Source-Pakete in den letzten Jahren um ein Vielfaches gestiegen ist, während ENISA Supply-Chain-Angriffe als einen der zentralen Trends in der Bedrohungslandschaft einstuft.
Organisationen und einzelne Entwickler sollten jede externe Bibliothek als potenziell nicht vertrauenswürdigen Code betrachten und ihre Prozesse entsprechend anpassen. Zu den wichtigsten Maßnahmen gehören: gründliche Prüfung neuer Pakete und Maintainer-Profile; Einsatz von Software Composition Analysis (SCA) und SBOMs zur Überwachung von Dependencies; konsequente Vermeidung unbekannter GitHub-Release-Artefakte; strikte Isolierung von Build- und Testumgebungen; professionelles Secret-Management mit regelmäßiger Schlüsselrotation; Netzwerk-Monitoring auf verdächtige Exfiltrationsziele sowie gezielte Schulungen von Entwicklern, um Fake-Stellenanzeigen und zweifelhafte „Testprojekte“ zu erkennen.
Angesichts der klaren Fokussierung von Gruppen wie Famous Chollima, BlueNoroff und UNC1069 auf Krypto- und Web3-Ziele sollten Unternehmen in diesem Sektor ihre Supply-Chain-Sicherheit priorisieren, interne Entwicklungsrichtlinien aktualisieren und die Einführung von Zero-Trust-Prinzipien für Open-Source-Abhängigkeiten vorantreiben. Je schneller solche Schutzmechanismen zum Branchenstandard werden, desto schwerer fällt es Angreifern, das Vertrauen in Open Source als Sprungbrett für Diebstahl von Vermögenswerten und geistigem Eigentum zu missbrauchen.
