Robo de archivos con el paquete npm mouse5212-super-formatter

Investigadores de OX Security descubrieron en el registro npm el paquete malicioso mouse5212-super-formatter, que roba archivos del directorio /mnt/user-data; según los investigadores, esta ruta es utilizada por la herramienta Claude AI de Anthropic para procesar cargas y datos de salida. La campaña recibió el nombre en clave Malware-Slop. En el momento de la publicación del estudio, el paquete seguía disponible en npm y se había descargado unas 676 veces, aunque se desconoce el número real de instalaciones. El caso es llamativo porque, al parecer, el atacante cometió un grave error de seguridad operativa: en el código del paquete quedó hardcodeado un token privado de GitHub.

Mecánica del ataque: de la instalación a la exfiltración

Según los investigadores Moshe Siman Tov Bustan y Nir Zadok, el paquete se hace pasar por una utilidad interna de sincronización de despliegues archivados («archive deployment sync»), que supuestamente valida o inicializa un repositorio de GitHub, toma una instantánea del estado de la red y sincroniza los archivos locales del espacio de trabajo con un almacén remoto.

El comportamiento real del paquete difiere sustancialmente de lo anunciado:

• Activación en la fase postinstall: el código malicioso se ejecuta automáticamente tras la instalación del paquete npm, sin que el usuario lo invoque de forma explícita.
• Autenticación en GitHub: el script intenta utilizar un token de acceso a GitHub procedente de las variables de entorno de la víctima. Si no encuentra ningún token, recurre al token hardcodeado como opción de respaldo.
• Creación de repositorio: si el repositorio de destino no existe, el malware lo crea de forma automática.
• Exfiltración recursiva: todos los archivos del directorio objetivo se cargan de forma recursiva en una cuenta de GitHub controlada por el atacante (en el momento del estudio, la cuenta ya no estaba disponible).
• Camuflaje: los archivos robados se distribuyen en carpetas con nombres aleatorios para diferenciar las sesiones de robo. Paralelamente, el malware registra un log falso de conexiones de red, creando la apariencia de que solo se está enviando información de diagnóstico.

El directorio objetivo /mnt/user-data está, según se indica, vinculado al entorno de Claude AI de Anthropic. Esto significa que el principal objetivo son los datos procesados en el contexto del uso de esta herramienta de IA, lo que potencialmente incluye documentos cargados, resultados de generación y archivos intermedios. Cabe destacar que la asociación de esta ruta concretamente con Claude AI se basa en el informe de OX Security y no ha sido confirmada de forma independiente en la documentación de Anthropic.

Fallo de seguridad operativa y cuestión sobre la generación por IA

La característica clave de este incidente es la filtración de las propias credenciales del atacante. En el código del paquete mouse5212-super-formatter apareció el token privado de la cuenta de GitHub utilizada para recibir los datos robados. Este error permitió a los investigadores identificar rápidamente la infraestructura del ataque y, probablemente, contribuyó al bloqueo de la cuenta unplowed3584.

OX Security señala que esta falta de cuidado puede ser un indicio de la bajada del umbral de entrada para la creación de código malicioso. Los investigadores prevén que en un futuro próximo aumente el número de paquetes maliciosos «descuidamente» elaborados en npm: atacantes con poca cualificación imitarán tácticas de grupos avanzados hasta que el registro implemente un bloqueo automático del código malicioso.

Evaluación del impacto

El grupo principal en riesgo son desarrolladores y especialistas en datos que utilizan Claude AI en entornos donde los paquetes npm se instalan sin una verificación estricta. Aunque 676 descargas es una cifra relativamente modesta, resulta difícil evaluar el alcance real de la posible compromisión: los contadores de npm incluyen espejos, descargas automáticas de CI/CD y otras solicitudes no interactivas.

Posibles consecuencias para los afectados:

• Filtración de documentos confidenciales cargados en Claude AI para su procesamiento
• Compromiso de tokens de GitHub almacenados en variables de entorno, lo que abre acceso a los repositorios de la víctima
• Filtración de datos intermedios y resultados del trabajo de la herramienta de IA

Recomendaciones de protección

1. Revise las dependencias de sus proyectos: busque mouse5212-super-formatter en los archivos package.json y package-lock.json de todos sus proyectos. Si lo encuentra, elimine el paquete de inmediato y rote todos los tokens de GitHub accesibles en el entorno.
2. Revise el directorio /mnt/user-data: si existe en su entorno, analice los registros de acceso en busca de lecturas de archivos no autorizadas.
3. Audite los scripts postinstall: utilice el flag --ignore-scripts al instalar paquetes desconocidos o herramientas como npm audit para realizar comprobaciones previas.
4. No almacene tokens en variables de entorno sin necesidad: recurra a gestores de secretos y limite el alcance de los tokens de GitHub a los permisos mínimos necesarios.
5. Supervise la actividad en GitHub: revise el registro de auditoría de su cuenta de GitHub en busca de creación de repositorios desconocidos o carga de archivos que usted no haya iniciado.

El incidente con mouse5212-super-formatter demuestra un vector de ataque concreto contra la cadena de suministro, orientado a los datos procesados por herramientas de IA. Las organizaciones que utilizan Claude AI en flujos de trabajo con dependencias de npm deberían auditar los paquetes instalados, rotar los tokens de GitHub accesibles en los entornos afectados e implantar una política de verificación obligatoria de los scripts postinstall antes de instalar paquetes de terceros.