Исследователи OX Security обнаружили в реестре npm вредоносный пакет mouse5212-super-formatter, который похищает файлы из директории /mnt/user-data — по данным исследователей, этот путь используется инструментом Claude AI от Anthropic для обработки загрузок и выходных данных. Кампания получила кодовое название Malware-Slop. На момент публикации исследования пакет оставался доступным в npm и был загружен около 676 раз, хотя реальное число установок неизвестно. Случай примечателен тем, что злоумышленник, по всей видимости, допустил грубую ошибку в операционной безопасности — в коде пакета оказался захардкоженный приватный токен GitHub.
Механика атаки: от установки до эксфильтрации
По данным исследователей Моше Симан Тов Бустана и Нира Задока, пакет маскируется под внутреннюю утилиту синхронизации архивных развёртываний («archive deployment sync»), которая якобы валидирует или инициализирует GitHub-репозиторий, делает снимок сетевого статуса и синхронизирует локальные файлы рабочего пространства с удалённым хранилищем.
Фактическое поведение пакета существенно отличается от заявленного:
- Активация на этапе postinstall — вредоносный код запускается автоматически после установки npm-пакета, без явного вызова со стороны пользователя.
- Аутентификация в GitHub — скрипт пытается использовать токен доступа GitHub из переменных окружения жертвы. Если токен не найден, применяется захардкоженный токен как запасной вариант.
- Создание репозитория — если целевой репозиторий не существует, вредонос создаёт его автоматически.
- Рекурсивная эксфильтрация — все файлы из целевой директории рекурсивно загружаются в контролируемый злоумышленником аккаунт GitHub (на момент исследования аккаунт уже был недоступен).
- Маскировка — украденные файлы распределяются по папкам со случайными именами для разграничения сессий кражи. Параллельно вредонос записывает поддельный лог сетевых соединений, создавая видимость отправки диагностической информации.
Целевая директория /mnt/user-data, как сообщается, связана со средой Claude AI от Anthropic. Это означает, что основной мишенью являются данные, обрабатываемые в контексте работы с этим ИИ-инструментом — потенциально включая загруженные документы, результаты генерации и промежуточные файлы. Стоит отметить, что связь данного пути именно с Claude AI основана на отчёте OX Security и не была независимо подтверждена из документации Anthropic.
Провал операционной безопасности и вопрос об ИИ-генерации
Ключевая особенность этого инцидента — утечка собственных учётных данных злоумышленника. В коде пакета mouse5212-super-formatter оказался приватный токен GitHub-аккаунта, используемого для приёма украденных данных. Такая ошибка позволила исследователям быстро идентифицировать инфраструктуру атаки и, вероятно, способствовала блокировке аккаунта unplowed3584.
OX Security отмечает, что подобная небрежность может свидетельствовать о снижении порога входа для создания вредоносного кода. Исследователи предполагают, что в ближайшее время количество «неаккуратных» вредоносных пакетов в npm будет расти — злоумышленники с низкой квалификацией будут имитировать тактики продвинутых группировок, пока реестр не внедрит автоматическую блокировку вредоносного кода.
Оценка воздействия
Основная группа риска — разработчики и специалисты по данным, использующие Claude AI в средах, где npm-пакеты устанавливаются без строгой верификации. Хотя 676 загрузок — относительно скромная цифра, реальный масштаб компрометации оценить сложно: npm-счётчики включают зеркалирование, автоматические загрузки CI/CD и другие неинтерактивные обращения.
Потенциальные последствия для пострадавших:
- Утечка конфиденциальных документов, загруженных в Claude AI для обработки
- Компрометация токенов GitHub из переменных окружения, что открывает доступ к репозиториям жертвы
- Утечка промежуточных данных и результатов работы ИИ-инструмента
Рекомендации по защите
- Проверьте зависимости проектов — выполните поиск
mouse5212-super-formatterв файлахpackage.jsonиpackage-lock.jsonвсех проектов. При обнаружении — немедленно удалите пакет и выполните ротацию всех токенов GitHub, доступных в среде. - Проверьте директорию
/mnt/user-data— если она существует в вашей среде, проанализируйте логи доступа на предмет несанкционированного чтения файлов. - Аудит postinstall-скриптов — используйте флаг
--ignore-scriptsпри установке незнакомых пакетов или инструменты вродеnpm auditдля предварительной проверки. - Не храните токены в переменных окружения без необходимости — используйте менеджеры секретов и ограничивайте область действия токенов GitHub минимально необходимыми правами.
- Мониторинг GitHub-активности — проверьте журнал аудита вашего GitHub-аккаунта на предмет создания неизвестных репозиториев или загрузки файлов, которые вы не инициировали.
Инцидент с mouse5212-super-formatter демонстрирует конкретный вектор атаки на цепочку поставок, нацеленный на данные, обрабатываемые ИИ-инструментами. Организациям, использующим Claude AI в рабочих процессах с npm-зависимостями, следует провести аудит установленных пакетов, выполнить ротацию GitHub-токенов, доступных в затронутых средах, и внедрить политику обязательной проверки postinstall-скриптов перед установкой сторонних пакетов.
