Вредоносный npm-пакет воровал файлы из рабочего каталога Claude и заливал их на GitHub

Исследователи OX Security обнаружили в реестре npm пакет mouse5212-super-formatter, который рекурсивно выгружал содержимое каталога /mnt/user-data, используемого AI-инструментом Claude от Anthropic, в подконтрольный злоумышленнику репозиторий GitHub. По данным компании, пакет успел набрать 676 загрузок; в коде был зашит резервный токен GitHub, благодаря которому удалось отследить эксфильтрацию.

Компания OX Security, специализирующаяся на безопасности цепочек поставок ПО, сообщила об обнаружении в npm вредоносного пакета mouse5212-super-formatter. Кампания получила условное название Malware-Slop. Пакет маскируется под утилиту синхронизации «archive deployment sync», но на стадии postinstall аутентифицируется в GitHub и рекурсивно выгружает локальные файлы жертвы в удалённый репозиторий.

Основная цель закладки — каталог /mnt/user-data, который AI-инструмент Anthropic Claude использует для работы с пользовательскими файлами (загрузками и результатами выполнения). Скрипт обходит файлы рекурсивно и заливает их через GitHub Contents API с предварительным кодированием в base64. Каждый сеанс кражи складывается в каталог со случайным именем, что позволяет оператору разделять сессии; параллельно пишется фиктивный лог «network connections», имитирующий диагностику.

Для аутентификации в GitHub вредонос использует переменную окружения с токеном, а при её отсутствии — жёстко зашитый запасной токен. Именно этот токен и позволил исследователям выйти на репозиторий злоумышленника и зафиксировать около семи эпизодов эксфильтрации — по оценке OX Security, преимущественно тестовых, проведённых самим автором. Аккаунт на GitHub был создан за несколько часов до публикации первой вредоносной версии и удалён после обнаружения атаки; npm-пакет на момент публикации отчёта оставался доступным и насчитывал 676 загрузок.

По мнению авторов отчёта, шаблонные технические формулировки в комментариях и коммитах, а также грубые промахи в operational security (включая утечку собственного токена) указывают на то, что вредонос, по всей видимости, был сгенерирован с помощью ИИ без понимания базовых принципов скрытности. В OX Security ожидают, что снижение порога входа в разработку зловредов приведёт к росту числа подобных «небрежных» атак на публичные пакетные реестры.