Laut OX Security tarnt sich das Skript als internes Werkzeug zur „Archiv-Bereitstellungssynchronisierung", das ein GitHub-Repository validiert oder initialisiert, eine knappe Momentaufnahme des „Netzwerkstatus" erfasst und anschließend lokale Arbeitsbereichsdateien strukturiert in einen entfernten Tracking-Baum überträgt. So beschreiben die Forscher Moshe Siman Tov Bustan und Nir Zadok die vorgebliche Funktion des Pakets.

Das tatsächliche Verhalten weicht davon ab: Während der postinstall-Phase authentifiziert sich der Code bei GitHub — entweder über einen im Umfeld des Opfers gefundenen Zugriffstoken oder über einen fest eingebauten Token als Ausweichlösung. Anschließend prüft er, ob ein Ziel-Repository existiert, legt es bei Bedarf an und lädt rekursiv jede Datei auf ein vom Angreifer kontrolliertes GitHub-Konto hoch.

Im Visier steht dabei das Verzeichnis „/mnt/user-data", das Anthropics KI-Werkzeug Claude im Hintergrund für hochgeladene Dateien und Ausgaben verwendet. Die gestohlenen Dateien werden in zufällig benannten Ordnern abgelegt, damit der Betreiber verschiedene Diebstahl-Sitzungen unterscheiden kann. Zusätzlich schreibt die Schadsoftware ein gefälschtes Protokoll über „Netzwerkverbindungen", um den Eindruck zu erwecken, sie übermittle Diagnosedaten — und verschleiert so die unbefugte Sammlung und Weitergabe lokaler Daten.

Das Paket steht weiterhin zum Download bei npm bereit und wurde schätzungsweise 676-mal heruntergeladen; wie viele dieser Zugriffe tatsächlichen Installationen entsprechen, ist unklar. Das mit der Kampagne verbundene GitHub-Konto ist nicht mehr erreichbar. OX Security stellte fest, dass es am 26. Mai 2026 erstellt wurde — wenige Stunden, bevor die erste schädliche Version bei npm hochgeladen wurde.

Auffällig ist, dass das Paket Details des GitHub-Kontos preisgab, einschließlich des privaten Tokens. Das wirft laut OX Security die Frage auf, ob der Angreifer KI zur Erzeugung der Schadsoftware nutzt, ohne grundlegende Regeln der operativen Sicherheit (OPSEC) einzuhalten.

„Da die Hürde zur Erstellung von Schadcode deutlich gesunken ist, werden wir mehr Angreifer in diesem Feld sehen — die schlampigere Schadsoftware hochladen, meist APT-Gruppen nachahmen und sich ein Stück vom Kuchen sichern wollen, bis npm beginnt, Schadsoftware vollständig automatisch zu blockieren", erklärte OX Security.