AIを活用したPromptMinkマルウェアキャンペーン

サイバーセキュリティ研究者らは、Anthropic社の大規模言語モデル（LLM）であるClaude Opusが共同開発したコードによってプロジェクトに有害な依存関係が導入された後、npmパッケージ内に隠された悪意のあるコードを発見した。この発見は、AI支援開発ワークフローの悪用によってソフトウェアサプライチェーンの脅威がどのように進化しているかを浮き彫りにしている。

キャンペーンの中心となったパッケージ「@validate-sdk/v2」は、ハッシュ化、検証、エンコードとデコード、および安全な乱数生成のためのユーティリティソフトウェア開発キットとしてnpmに公開されていました。しかし実際には、侵害されたシステムから機密情報を盗み出すために設計されたものでした。調査官は、このパッケージが生成型AIを用いて「バイブコーディング」された可能性を示唆する兆候を指摘しました。このパッケージは2025年10月に初めてnpmにアップロードされました。

PromptMinkが北朝鮮の脅威活動と関連している

研究者らはこのキャンペーンを「PromptMink」と名付け、北朝鮮の脅威アクターであるFamous Chollima（別名Shifty Corsair）と関連があると考えている。このグループは以前、長期間にわたる「Contagious Interview」作戦や、ITワーカーを装った詐欺行為に関与していた。

このキャンペーンは、オープンソースのエコシステム、特に暗号通貨やWeb3開発に関連する環境への継続的な注力を示すものです。

AIが共同で作成したコミットにより危険な依存関係が導入されました

悪意のあるパッケージは、2月28日に自動取引エージェントのリポジトリにコミットされた際に挿入された。このコミットは、Anthropic社のClaude Opusモデルが共同で作成したと報じられている。このパッケージが組み込まれると、攻撃者は仮想通貨ウォレットにアクセスして資金を盗むことが可能になった。

依存関係チェーンは複数のパッケージを経由していました。「@validate-sdk/v2」は「@solana-launchpad/sdk」内にリストされており、その後、openpaw-graveyardという3番目のパッケージによって使用されました。このパッケージは、Tapestry Protocolを通じてSolanaブロックチェーン上にソーシャルオンチェーンIDを構築し、Bankrを通じて暗号通貨を取引し、Moltbook上の他のエージェントとやり取りできる自律型AIエージェントとして説明されていました。

2026年2月のソースコードコミットにより、不正な依存関係が追加され、悪意のあるコードが実行され、ウォレット資産を危険にさらす可能性のある認証情報が漏洩する事態が発生した。

検出を回避するために設計された多層感染戦略

攻撃者は段階的なパッケージ構造を利用した。最初のパッケージは一見クリーンで、明らかな悪意のあるコードは含まれていなかった。その代わりに、実際の有害な機能が格納された二次パッケージをインポートした。悪意のある二次パッケージが検出または削除されると、すぐに別のパッケージに置き換えられた。

キャンペーンで特定された第1層パッケージには、以下のようなものがあった。

@solana-launchpad/sdk
@meme-sdk/トレード
@validate-ethereum-address/core
@solmasterv3/solana-metadata-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk

これらのパッケージは、暗号通貨関連の機能を提供すると謳い、axiosやbn.jsといった信頼できる依存関係を多数含んでいたため、正当なものに見えた。しかし、そうした信頼できるライブラリの中に、少数の悪意のある依存関係が紛れ込んでいた。

攻撃者が使用するステルス技術

攻撃者は、疑念を軽減し、攻撃の継続性を高めるために、いくつかの手法を用いた。

• 既に正規の人気ライブラリに含まれている関数の悪意のあるバージョンを作成する
• 信頼できるツールに酷似したタイポスクワッティングのパッケージ名と説明を使用する
• マルウェアを無害に見えるローダーと第2段階のペイロードに分割する
• 高速回転、除去、または検出された二次パッケージ

このキャンペーンに関連する最初の既知のパッケージ「@hash-validator/v2」は、2025年9月にアップロードされました。

npmとマルウェアの進化を超えた拡張

数か月後、研究者たちはこの活動の兆候に気づき、開発者のマシン上で悪意のあるコードを実行し、貴重なデータを盗むために推移的依存関係が利用されていることを確認した。その後、同様の機能を持つscraper-npmという悪意のあるパッケージが2026年2月にアップロードされ、このキャンペーンはPythonパッケージインデックスにまで拡大した。

報道によると、この攻撃のより新しいバージョンでは、SSHを介して永続的なリモートアクセスを確立し、Rustでコンパイルされたペイロードを使用して、感染したシステムからソースコードプロジェクト全体と知的財産を盗み出すという。

基本的な窃盗犯からマルチプラットフォームの脅威へ

マルウェアの初期バージョンは、難読化されたJavaScript窃盗プログラムであり、作業ディレクトリを再帰的に検索して.envファイルと.jsonファイルを探し出し、それらをFamous Chollimaの活動と以前関連付けられていたVercelがホストするドメインに外部送信する準備をしていた。

後のバージョンでは、PromptMinkはNode.jsの単一実行可能アプリケーションとして組み込まれました。しかし、これによりペイロードサイズが約5.1KBから約85MBに増加し、配信効率が低下しました。この制限を克服するため、攻撃者はNAPI-RSに移行し、Rustで記述されたプリコンパイル済みのNode.jsアドオンを利用できるようになったと報告されています。

オープンソースサプライチェーンに対するリスクの増大

このキャンペーンが、単純な情報窃盗から、Windows、Linux、macOSを標的とする特殊なマルチプラットフォームマルウェアファミリーへと進化を遂げたことは、その能力の著しい向上を示している。現在では、認証情報の窃盗、SSHバックドアの展開、開発プロジェクト全体の窃盗といった機能も備えている。

研究者らは、Famous ChollimaがAI生成コードと階層化されたパッケージ配信方法を組み合わせることで、検出を回避し、人間の開発者よりも効果的に自動コーディングアシスタントを操作していると結論付けた。