tradingkey.logo
tradingkey.logo
Buscar

Los desarrolladores de criptomonedas se enfrentan a una nueva amenaza proveniente de un malware basado en Claude

Cryptopolitan30 de abr de 2026 21:55
facebooktwitterlinkedin
Ver todos los comentarios0

Un proyecto de código abierto para el comercio de criptomonedas recibió un paquete npm malicioso llamado @validate-sdk/v2 después de que el modelo de IA Claude Opus de Anthropic lo convirtiera en una dependencia. Esto permitió a los hackers acceder a las billeteras y fondos de criptomonedas de los usuarios.

Investigadores de seguridad de ReversingLabs (RL) descubrieron la vulnerabilidad en el proyecto openpaw-graveyard, un agente autónomo de comercio de criptomonedas alojado en npm. Lo denominaron PromptMink.

La modificación maliciosa se realizó el 28 de febrero de 2026. ReversingLabs afirma que el paquete simula ser una herramienta para verificar datos, pero en realidad roba información confidencial del entorno del host.

Hackers norcoreanos vinculados al malware PromptMink

ReversingLabs Según , el ataque provino de Famous Chollima, un grupo terrorista patrocinado por el Estado norcoreano.

El grupo lleva distribuyendo paquetes npm maliciosos desde al menos septiembre de 2025. Han estado perfeccionando una estrategia de dos capas diseñada para engañar tanto a desarrolladores humanos como a asistentes de codificación de IA.

La primera capa está compuesta por paquetes que no contienen código malicioso. Estos paquetes "cebo", como @solana-launchpad/sdk y @meme-sdk/trade, parecen herramientas reales para desarrolladores de criptomonedas.

Enumeran algunos paquetes de segunda capa que contienen la carga útil real, junto con paquetes populares de npm como axios y bn.js como dependencias.

Cuando se denuncian y eliminan de npm los paquetes de segunda capa, los atacantes simplemente colocan uno nuevo sin perder la reputación que han construido en torno a los paquetes señuelo.

Según ReversingLabs, cuando @hash-validator/v2 fue retirado de npm, los atacantes lanzaron @validate-sdk/v2 el mismo día con el mismo número de versión y código fuente.

Los agentes de IA son más susceptibles a los ataques informáticos que los humanos

Investigadores de seguridad afirmaron que el método de Famous Chollima parece más adecuado para aprovecharse de los asistentes de codificación de IA que de los desarrolladores humanos. El grupo elabora documentación extensa y detallada para sus paquetes maliciosos, lo que los investigadores denominan "abuso de optimización LLM"

El objetivo es que los paquetes parezcan lo suficientemente reales como para que los agentes de IA los sugieran e instalen sin problemas. Los paquetes infectados fueronvibemediante herramientas de IA generativa. Las respuestas LLM restantes son visibles en los comentarios del archivo.

Desde finales de 2025, el malware PromptMink ha adoptado muchas formas diferentes.

Comenzó como un simple programa para robar información en JavaScript, luego se convirtió en grandes aplicaciones de un solo ejecutable y ahora se presenta como cargas útiles compiladas en Rust diseñadas para pasar desapercibidas, según ReversingLabs.

Una vez instalado, el malware busca archivos de configuración relacionados con criptomonedas, robadentde monederos e información del sistema, comprime y se envía el código fuente del proyecto a sí mismo, y coloca claves SSH en máquinas Linux y Windows para poder acceder a ellas de forma remota en todo momento.

La campaña PromptMink no es el único ataque reciente dirigido a desarrolladores de criptomonedas a través de gestores de paquetes.

El mes pasado, Cryptopolitan informó sobre GhostClaw, un malware que atacó a la comunidad de OpenClaw mediante un instalador falso de npm. Recopiló datos de billeteras de criptomonedas, contraseñas del llavero de macOS y tokens de la API de la plataforma de IA de 178 desarrolladores antes de ser eliminado del registro de npm.

PromptMink y GhostClaw utilizan la ingeniería social como punto de entrada y tienen como objetivo a desarrolladores que trabajan en criptografía y Web3. Lo que diferencia a PromptMink es que se dirige a agentes de codificación de IA y los utiliza como vía de ataque.

Si desea un punto de entrada más tranquilo al DeFi cripto sin la publicidad habitual, comience con este video gratuito.

Descargo de responsabilidad: La información proporcionada en este sitio web es solo para fines educativos e informativos, y no debe considerarse como asesoramiento financiero o de inversión.

Comentarios (0)

Haga clic en el botón $, introduzca el símbolo y seleccione si desea vincular una acción, un ETF o otro valor.

0/500
Normas para comentar
Cargando...

Artículos Recomendados

tradingkey.logo
* Las referencias, los análisis y las estrategias de trading son proporcionados por un proveedor externo, Trading Central, y el punto de vista se basa en la evaluación y el juicio independientes del analista, sin considerar los objetivos de inversión ni la situación financiera de los inversores.
Advertencia de Riesgo: Nuestro sitio web y aplicación móvil solo proporcionan información general sobre ciertos productos de inversión. Finsights no proporciona, y la provisión de dicha información no debe interpretarse como que Finsights proporciona, asesoramiento financiero o recomendación para cualquier producto de inversión.
Los productos de inversión están sujetos a riesgos de inversión significativos, incluida la posible pérdida del monto principal invertido y pueden no ser adecuados para todos. El rendimiento pasado de los productos de inversión no es indicativo de su rendimiento futuro.
Finsights puede permitir que anunciantes o afiliados de terceros coloquen o entreguen anuncios en nuestro sitio web o aplicación móvil o en cualquier parte de los mismos y puede ser compensado por ellos en función de su interacción con los anuncios.
© Derechos de autor: FINSIGHTS MEDIA PTE. LTD. Todos los derechos reservados.