Claude Opus usado por hackers para infectar pacote NPM

O modelo de linguagem Claude Opus, da Anthropic, foi explorado por hackers norte-coreanos para introduzir código malicioso em um projeto de código aberto. Pesquisadores da ReversingLabs identificaram o ataque batizado de PromptMink, que resultou no roubo de credenciais de carteiras de criptomoedas de desenvolvedores através de um pacote infectado no registro npm.

O ataque representa uma escalada preocupante na sofisticação dos ataques à cadeia de suprimentos de software. Ao explorar ferramentas de codificação assistida por IA, o grupo Famous Chollima conseguiu automatizar a contaminação de projetos de forma que pode passar despercebida tanto por humanos quanto por sistemas de segurança convencionais.

Você vai entender como o ataque funcionou em camadas, como o Claude foi manipulado para introduzir dependências maliciosas, e por que essa técnica representa uma ameaça crescente ao ecossistema open source. Também vamos explorar as táticas paralelas de engenharia social que o mesmo grupo utiliza para comprometer desenvolvedores.

O pacote @validate-sdk/v2 se disfarçou como ferramenta legítima de segurança

O pacote malicioso identificado pelos pesquisadores tinha o nome @validate-sdk/v2. Ele estava listado no registro npm como um SDK utilitário voltado para funções de segurança: hashing, validação, codificação e geração segura de números aleatórios. A descrição e a apresentação do pacote eram convincentes o suficiente para não levantar suspeitas imediatas.

Na prática, porém, sua função real era completamente diferente. O pacote vasculhava o ambiente comprometido em busca de credenciais e segredos sensíveis, com foco especial em carteiras de criptomoedas. A primeira publicação do pacote ocorreu em outubro de 2025, e análises posteriores revelaram sinais claros de que o código foi gerado com ajuda de IA generativa.

Segundo a ReversingLabs, o pacote apresenta características típicas do que a indústria chama de "vibe coding" — código gerado por modelos de linguagem que mantém uma estrutura aparentemente profissional, mas com padrões identificáveis de geração automatizada. Os elementos compartilhados entre campanhas atribuídas ao grupo Famous Chollima incluem o uso de deployments na Vercel como infraestrutura de comando e controle, além da técnica de typosquatting contra a biblioteca big.js.

Como o Claude Opus introduziu a dependência maliciosa sem detectar o perigo

O momento crítico do ataque ocorreu em 28 de fevereiro de 2026. Nessa data, o pacote malicioso @validate-sdk/v2 foi adicionado como dependência a um projeto chamado openpaw-graveyard, um agente autônomo de negociação de criptomoedas. O detalhe mais preocupante: o commit responsável pela inclusão foi co-assinado pelo Claude Opus.

Isso significa que o modelo de linguagem da Anthropic, ao gerar ou sugerir código para o desenvolvedor, introduziu a dependência infectada no projeto sem identificar qualquer sinal de perigo. O atacante explorou a confiança que ferramentas de codificação autônomas depositam em pacotes npm aparentemente legítimos, aproveitando-se do fato de que modelos de IA não possuem capacidade nativa de análise de segurança profunda de dependências.

Após o download e instalação, o malware instala um aplicativo malicioso local chamado "Client-App", que carrega o stealer através de scripts batch e PowerShell. O malware então passa a registrar teclas digitadas, capturar screenshots e monitorar o clipboard da vítima em busca de endereços de carteiras e chaves privadas.

A técnica demonstra como ferramentas de IA podem ser manipuladas para se tornarem vetores de ataque involuntários. Desenvolvedores que confiam em sugestões de código geradas por IA precisam implementar camadas adicionais de verificação, especialmente quando se trata de dependências externas.

A estratégia em camadas dificulta detecção e permite substituição rápida

O ataque PromptMink funciona através de uma arquitetura sofisticada em múltiplas camadas. Os pacotes da primeira camada, como @solana-launchpad/sdk e @meme-sdk/trade, não contêm código malicioso visível por si mesmos. Eles aparecem como dependências legítimas e passam por análises superficiais sem levantar alertas.

Esses pacotes de primeira camada importam pacotes de uma segunda camada. É nessa segunda camada que o malware de fato reside e executa suas funções de exfiltração de dados. Essa separação entre isca e payload é o que torna a detecção significativamente mais difícil para ferramentas automatizadas de análise de segurança.

Quando os pacotes maliciosos são detectados e removidos do registro npm, os operadores os substituem rapidamente por versões atualizadas ou pacotes com nomes ligeiramente diferentes. Essa capacidade de reação rápida sugere uma operação bem estruturada, com infraestrutura preparada para manter a persistência mesmo após exposição parcial.

A técnica de dependências transitivas é particularmente eficaz porque muitos desenvolvedores e ferramentas de auditoria focam apenas nas dependências diretas de um projeto. As dependências de segundo e terceiro nível frequentemente escapam de análises mais rigorosas, criando um ponto cego que atacantes exploram sistematicamente.

Da ferramenta simples ao backdoor persistente: a evolução do malware

As primeiras versões do malware PromptMink eram stealers relativamente simples escritos em JavaScript. Eles varriam o diretório de trabalho em busca de arquivos .env e .json para exfiltrar dados sensíveis a uma URL hospedada na plataforma Vercel. A simplicidade inicial permitia que os pacotes mantivessem tamanhos pequenos, em torno de 5,1 KB, o que ajudava a evitar suspeitas.

Com o tempo, o PromptMink evoluiu significativamente. Os atacantes passaram a distribuir o malware como um executável Node.js usando SEA (Single Executable Application), o que inflou o payload de 5,1 KB para aproximadamente 85 MB. Embora o aumento de tamanho pudesse parecer contraproducente, ele permitia empacotar funcionalidades muito mais avançadas.

Essa evolução levou os atacantes a migrar para payloads compilados em Rust via NAPI-RS, uma combinação que oferece melhor desempenho e maior dificuldade de análise reversa. As versões mais recentes do malware não se limitam a roubar credenciais — elas instalam backdoors SSH persistentes e exfiltram projetos inteiros, incluindo código-fonte e propriedade intelectual.

Segundo a ReversingLabs, o grupo Famous Chollima opera há anos no ecossistema open source, mirando especificamente desenvolvedores da área de Web3 e criptomoedas. As técnicas empregadas se tornaram cada vez mais sofisticadas, combinando engenharia social avançada com ataques técnicos à cadeia de suprimentos de software.

Empresas falsas e entrevistas de emprego como vetor de infecção

Em paralelo aos ataques via pacotes npm, o mesmo grupo conduz uma campanha chamada graphalgo. Essa operação mira desenvolvedores em busca de emprego através de táticas elaboradas de engenharia social. Os atacantes criam empresas fictícias completas, com perfis no GitHub, LinkedIn e X (antigo Twitter) para dar credibilidade às vagas falsas.

A sofisticação chega ao ponto de registrarem LLCs (Limited Liability Companies) em estados americanos sob o nome das empresas de fachada. Em um caso documentado, os atacantes registraram uma empresa no estado da Flórida, criando uma camada adicional de legitimidade que torna a fraude muito mais difícil de identificar.

Os candidatos são induzidos a baixar projetos do GitHub como parte de um teste técnico para a vaga. Esses projetos contêm dependências maliciosas que instalam um Trojan de Acesso Remoto (RAT) na máquina da vítima. Uma vez instalado, o RAT permite aos atacantes controle total sobre o sistema comprometido.

Essa abordagem é particularmente eficaz porque explora o contexto de um processo seletivo, onde desenvolvedores naturalmente esperam precisar instalar e executar código como parte da avaliação técnica. A pressão psicológica de estar participando de uma entrevista reduz a cautela que o desenvolvedor normalmente teria ao executar código de fontes desconhecidas.

O ataque ao axios e a ameaça crescente ao ecossistema open source

A campanha PromptMink não é um incidente isolado. Em março de 2026, o pacote axios — uma das bibliotecas JavaScript mais populares, com milhões de downloads semanais — foi comprometido em um ataque de cadeia de suprimentos vinculado ao grupo UNC1069. Embora sejam grupos distintos, os ataques demonstram um padrão preocupante de ataques coordenados ao ecossistema npm.

A estratégia de abusar de ferramentas de codificação com IA para injetar dependências maliciosas representa uma escalada significativa. Ela automatiza a contaminação de projetos de forma que pode passar despercebida tanto por humanos quanto por sistemas de segurança convencionais. Modelos de linguagem como o Claude não foram projetados com capacidades nativas de análise de segurança, tornando-os vetores potenciais para esse tipo de ataque.

Pacotes maliciosos publicados no npm continuam a se disfarçar de ferramentas legítimas para desenvolvedores. A detecção é dificultada pelo uso de dependências transitivas, que escondem o código malicioso em camadas intermediárias da cadeia de suprimentos de software. Essa técnica explora uma limitação fundamental de como a maioria das ferramentas de auditoria opera.

Para se proteger, desenvolvedores precisam implementar múltiplas camadas de defesa: auditoria regular de todas as dependências (diretas e transitivas), uso de ferramentas de análise de segurança que examinem a cadeia completa de suprimentos, verificação manual de dependências críticas antes de adicioná-las a projetos, e cautela redobrada ao usar sugestões de código geradas por IA.