npm-Paket mouse5212-super-formatter stiehlt Claude-AI-Daten

Forschende von OX Security haben in der npm-Registry das bösartige Paket mouse5212-super-formatter entdeckt, das Dateien aus dem Verzeichnis /mnt/user-data entwendet. Nach Angaben der Forschenden wird dieser Pfad vom Tool Claude AI von Anthropic für die Verarbeitung von Uploads und Ausgabedaten verwendet. Die Kampagne erhielt den Codenamen Malware-Slop. Zum Zeitpunkt der Veröffentlichung der Untersuchung war das Paket in npm noch verfügbar und wurde etwa 676‑mal heruntergeladen, auch wenn die tatsächliche Zahl der Installationen unbekannt ist. Der Fall ist bemerkenswert, weil der Angreifer offenbar einen groben Fehler in der operativen Sicherheit begangen hat – im Paketcode befand sich ein hartkodierter privater GitHub-Token.

Mechanik des Angriffs: von der Installation bis zur Exfiltration

Den Forschenden Moshe Siman Tov Bustan und Nir Zadok zufolge tarnt sich das Paket als internes Tool zur Synchronisierung von Archiv-Deployments („archive deployment sync“), das angeblich ein GitHub-Repository validiert oder initialisiert, einen Snapshot des Netzwerkstatus erstellt und lokale Dateien des Workspace mit einem entfernten Speicher synchronisiert.

Das tatsächliche Verhalten des Pakets unterscheidet sich jedoch deutlich von der behaupteten Funktionalität:

• Aktivierung in der postinstall-Phase — der bösartige Code wird automatisch nach der Installation des npm-Pakets ausgeführt, ohne dass der Benutzer ihn explizit aufruft.
• Authentifizierung bei GitHub — das Skript versucht, den GitHub-Zugriffstoken aus den Umgebungsvariablen des Opfers zu verwenden. Wenn kein Token gefunden wird, kommt als Fallback ein hartkodierter Token zum Einsatz.
• Erstellung eines Repositories — existiert das Ziel-Repository nicht, legt die Malware dieses automatisch an.
• Rekursive Exfiltration — alle Dateien aus dem Zielverzeichnis werden rekursiv in ein vom Angreifer kontrolliertes GitHub-Konto hochgeladen (zum Zeitpunkt der Untersuchung war das Konto bereits nicht mehr erreichbar).
• Tarnung — die gestohlenen Dateien werden auf Ordner mit zufälligen Namen verteilt, um einzelne Diebstahlsitzungen voneinander zu trennen. Parallel dazu schreibt die Malware ein gefälschtes Log von Netzwerkverbindungen, um den Anschein zu erwecken, es würden nur Diagnosedaten versendet.

Das Zielverzeichnis /mnt/user-data steht Berichten zufolge im Zusammenhang mit der Claude-AI-Umgebung von Anthropic. Das bedeutet, dass es primär auf Daten abzielt, die im Kontext der Arbeit mit diesem KI-Tool verarbeitet werden – potenziell einschließlich hochgeladener Dokumente, Generierungsergebnisse und temporärer Dateien. Es ist zu beachten, dass die Zuordnung dieses Pfads speziell zu Claude AI auf dem Bericht von OX Security beruht und nicht unabhängig anhand der Anthropic-Dokumentation bestätigt wurde.

Fehlgeschlagene operative Sicherheit und die Frage nach KI-Generierung

Das zentrale Merkmal dieses Vorfalls ist die unbeabsichtigte Preisgabe der eigenen Zugangsdaten des Angreifers. Im Code des Pakets mouse5212-super-formatter befand sich ein privater Token des GitHub-Kontos, das für den Empfang der gestohlenen Daten genutzt wurde. Dieser Fehler ermöglichte es den Forschenden, die Angriffs-Infrastruktur schnell zu identifizieren und hat wahrscheinlich zur Sperrung des Kontos unplowed3584 beigetragen.

OX Security weist darauf hin, dass eine derartige Nachlässigkeit auf eine gesunkene Einstiegshürde für die Erstellung bösartigen Codes hindeuten könnte. Die Forschenden gehen davon aus, dass die Zahl „schlampiger“ bösartiger Pakete in npm in naher Zukunft zunehmen wird – Angreifer mit geringer Qualifikation werden die Taktiken fortgeschrittener Gruppen imitieren, bis das Registry eine automatische Blockierung von Malware-Code einführt.

Bewertung der Auswirkungen

Die primäre Risikogruppe sind Entwickler und Data Professionals, die Claude AI in Umgebungen nutzen, in denen npm-Pakete ohne strenge Verifizierung installiert werden. Auch wenn 676 Downloads eine relativ bescheidene Zahl darstellen, lässt sich das tatsächliche Ausmaß der Kompromittierung nur schwer abschätzen: Die npm-Zähler umfassen Mirror, automatisierte CI/CD-Downloads und andere nicht interaktive Zugriffe.

Potenzielle Folgen für Betroffene:

• Abfluss vertraulicher Dokumente, die zur Verarbeitung an Claude AI übergeben wurden
• Kompromittierung von GitHub-Tokens aus Umgebungsvariablen, was den Zugriff auf die Repositories des Opfers eröffnet
• Abfluss von Zwischendaten und Arbeitsergebnissen des KI-Tools

Empfehlungen zum Schutz

1. Projektabhängigkeiten prüfen — suchen Sie in allen package.json– und package-lock.json-Dateien Ihrer Projekte nach mouse5212-super-formatter. Wenn das Paket gefunden wird, entfernen Sie es umgehend und führen Sie eine Rotation aller GitHub-Tokens durch, die in der Umgebung verfügbar sind.
2. Verzeichnis /mnt/user-data überprüfen — falls dieses in Ihrer Umgebung vorhanden ist, analysieren Sie die Zugriffslogs auf unautorisierte Dateizugriffe.
3. Audit von postinstall-Skripten — nutzen Sie beim Installieren unbekannter Pakete den Schalter --ignore-scripts oder Tools wie npm audit zur vorherigen Prüfung.
4. Tokens nicht unnötig in Umgebungsvariablen speichern — verwenden Sie Secret-Manager und beschränken Sie den Geltungsbereich von GitHub-Tokens auf die jeweils minimal erforderlichen Rechte.
5. Monitoring der GitHub-Aktivität — prüfen Sie das Audit-Log Ihres GitHub-Kontos auf die Erstellung unbekannter Repositories oder Datei-Uploads, die nicht von Ihnen initiiert wurden.

Der Vorfall rund um mouse5212-super-formatter zeigt einen konkreten Angriffsvektor auf die Software-Lieferkette, der sich gezielt gegen Daten richtet, die von KI-Tools verarbeitet werden. Organisationen, die Claude AI in Workflows mit npm-Abhängigkeiten einsetzen, sollten ein Audit der installierten Pakete durchführen, in den betroffenen Umgebungen verfügbare GitHub-Tokens rotieren und eine Richtlinie einführen, nach der postinstall-Skripte externer Pakete vor der Installation zwingend geprüft werden.