Hackers exploram modelo Claude para distribuir malware

Hackers – Especialistas em segurança da ReversingLabs identificaram um novo pacote malicioso no repositório npm, inserido em um projeto de código aberto por meio de um commit co-assinado pelo modelo de linguagem Claude Opus, da Anthropic. O pacote era capaz de roubar credenciais de carteiras de criptomoedas de desenvolvedores.

O ataque foi batizado de PromptMink e está associado ao grupo norte-coreano Famous Chollima.

LEIA: Despesas médicas no IR 2026: como declarar corretamente e ampliar a restituição

O pacote, denominado @validate-sdk/v2, se apresentava como uma ferramenta legítima voltada a hashing, validação, codificação e geração segura de números aleatórios. No entanto, sua função real era vasculhar o ambiente comprometido em busca de credenciais e outros dados sensíveis.

Publicado pela primeira vez em outubro de 2025, o pacote apresenta indícios de ter sido gerado com auxílio de IA generativa, prática conhecida como vibe coding.

Em 28 de fevereiro de 2026, a dependência maliciosa foi adicionada a um agente autônomo de negociação de criptomoedas chamado openpaw-graveyard. O commit responsável pela inclusão foi co-assinado pelo Claude Opus, indicando que o modelo sugeriu ou gerou o código que incorporou o pacote infectado sem identificar o risco.

Segundo os pesquisadores, o ataque explorou a confiança que ferramentas automatizadas de desenvolvimento depositam em pacotes aparentemente legítimos do ecossistema npm.

A estratégia utilizada pelos atacantes é baseada em múltiplas camadas. Pacotes da primeira camada, como @solana-launchpad/sdk e @meme-sdk/trade, não apresentam código malicioso direto. Eles funcionam como intermediários que importam dependências de uma segunda camada, onde o malware está efetivamente alojado.

Essa separação entre isca e carga maliciosa dificulta a detecção. Caso os pacotes sejam removidos, os operadores rapidamente os substituem por novas versões.

Inicialmente, o malware consistia em scripts JavaScript do tipo stealer, que buscavam arquivos .env e .json para exfiltrar dados a uma URL hospedada na Vercel. Com o tempo, o PromptMink evoluiu para um executável Node.js (SEA), aumentando o tamanho do payload de 5,1 KB para cerca de 85 MB.

Posteriormente, os atacantes migraram para versões compiladas em Rust via NAPI-RS. As variantes mais recentes são capazes de instalar backdoors SSH e exfiltrar projetos completos, incluindo código-fonte e propriedade intelectual.

Paralelamente, o grupo conduz outra campanha chamada graphalgo, direcionada a desenvolvedores em busca de emprego. Nela, os criminosos criam empresas fictícias com presença em plataformas como GitHub, LinkedIn e X para dar credibilidade a vagas falsas.

Em um dos casos, foi registrada uma LLC no estado da Flórida com o nome de uma dessas empresas de fachada. Os candidatos são incentivados a baixar projetos como parte de testes técnicos, que incluem dependências maliciosas capazes de instalar um Trojan de Acesso Remoto (RAT) nas máquinas das vítimas.

A campanha PromptMink se soma a outros ataques recentes à cadeia de suprimentos de software atribuídos a grupos alinhados à Coreia do Norte. Em março, o pacote axios foi comprometido em uma ação ligada ao grupo UNC1069.

Especialistas apontam que o uso de ferramentas de codificação baseadas em IA para inserir dependências maliciosas representa uma escalada nesse tipo de ameaça, ao automatizar a contaminação de projetos de forma que pode passar despercebida tanto por desenvolvedores quanto por sistemas tradicionais de segurança.

 

(Com informações de Tecmundo)

(Foto: Reprodução/Magnific/Sakura Tanaka)