MalwareSchwachstellenKI-Sicherheit

Malware-Slop: Bösartiges npm-Paket stiehlt Dateien aus Claude-AI-Verzeichnissen

Von CyberDeutsch Redaktion
Malware-Slop: Bösartiges npm-Paket stiehlt Dateien aus Claude-AI-Verzeichnissen
Zusammenfassung

Sicherheitsforschern ist ein bösartiges npm-Paket aufgefallen, das darauf ausgelegt ist, Dateien aus dem Claude-AI-Verzeichnis von Anthropic zu stehlen. Das Paket mit dem Namen "mouse5212-super-formatter" wurde etwa 676 Mal heruntergeladen und tarnt sich als internes Deployment-Utility, authentifiziert sich aber heimlich bei GitHub und lädt alle Dateien aus dem "/mnt/user-data"-Verzeichnis auf ein fremdes Konto hoch. Die Malware nutzt dabei entweder gestohlene GitHub-Token aus der Umgebung oder hart codierte Tokens als Fallback-Lösung. Besonders bemerkenswert ist, dass die Angreifer dabei rudimentäre Operational-Security-Praktiken ignorierten und ihre Kontodaten selbst preisgaben, was darauf hindeutet, dass möglicherweise KI-Tools zur Malware-Entwicklung genutzt wurden. Das Paket ist noch immer im npm-Repository verfügbar. Für deutsche Nutzer und Unternehmen ist dies relevant, da npm-Pakete auch hierzulande weit verbreitet sind – besonders in der JavaScript- und Node.js-Entwicklung. Entwickler, die dieses oder ähnliche verdächtige Pakete installiert haben, könnten sensible Daten kompromittiert sehen. Das Incident unterstreicht die wachsende Bedrohung durch automatisiert erzeugte Malware und die Notwendigkeit verstärkter Überprüfungsmechanismen bei Paket-Managern.

Das bösartige npm-Paket ‘mouse5212-super-formatter’ präsentiert sich nach außen hin als legitimes interne Nutzwerkzeug zur Deployment-Synchronisation. Tatsächlich handelt es sich um einen Datendieb, der gezielt auf das Verzeichnis ‘/mnt/user-data’ abzielt – einen speziellen Bereich, den Anthropics Claude-Tool im Hintergrund für Uploads und Ausgaben nutzt. Die Sicherheitsforscher Moshe Siman Tov Bustan und Nir Zadok zeigen in ihrer Analyse auf, wie raffiniert die Verschleierung funktioniert: Das Skript gibt vor, einen “Netzwerk-Status-Schnappschuss” zu erstellen und eine GitHub-Repository-Synchronisation durchzuführen.

Während der Installation authentifiziert sich die Malware bei GitHub. Sie nutzt entweder einen GitHub-Zugriffstoken aus der Umgebungsvariablen des Opfers oder greift auf einen hart codierten Token zurück. Anschließend prüft das Paket, ob ein Ziel-Repository existiert – falls nicht, erstellt es ein neues – und lädt dann rekursiv alle lokalen Dateien auf ein vom Angreifer kontrolliertes GitHub-Konto hoch. Um verschiedene Diebstahl-Sitzungen zu unterscheiden, speichert die Malware die gestohlenen Daten in zufällig benannten Ordnern. Um ihre wahre Aktivität zu verschleiern, schreibt sie auch gefälschte Protokolle, die vorgeben, Diagnoseinformationen zu versenden.

Besonders bemerkenswert ist ein kritischer Fehler der Angreifer: Sie haben Details ihres GitHub-Kontos, einschließlich des privaten Tokens, geleckt. Dies deutet darauf hin, dass KI-Generierung von Malware-Code zwar die technischen Barrieren senkt, aber auch zu mangelhaften Sicherheitspraktiken führt. Das GitHub-Konto wurde am 26. Mai 2026 erstellt – wenige Stunden bevor die erste malware-verseuchte Version ins npm-Registry hochgeladen wurde.

OX Security warnt, dass mit sinkenden technischen Hürden zur Malware-Erstellung mehr Akteure in die Cyberkriminalität einsteigen werden. Das npm-Paket steht immer noch zum Download bereit. Deutsche Entwickler sollten ihre Abhängigkeiten kritisch überprüfen und das BSI wird voraussichtlich eine Warnung zur Überprüfung von npm-Paketen ausgeben. Die Sicherheit der Supply-Chain bleibt ein zentrales Thema für Unternehmen und Behörden.

Ähnliche Artikel