Malicioso paquete npm roba archivos del directorio de usuario de Claude AI mediante GitHub

Investigadores de ciberseguridad descubrieron un nuevo paquete malicioso en el registro npm, denominado 'mouse5212-super-formatter', diseñado para sustraer archivos del directorio /mnt/user-data utilizado por la herramienta Claude AI de Anthropic. El paquete se autentica en GitHub durante la instalación y sube archivos a una cuenta controlada por el atacante, usando un token de acceso o uno codificado. Se estima que ha sido descargado 676 veces, y se sospecha que el malware fue generado con IA, evidenciando malas prácticas de seguridad operativa.

Investigadores de ciberseguridad han descubierto un nuevo paquete malicioso en el registro npm con capacidades de robo de información.

Según OX Security, el paquete, llamado 'mouse5212-super-formatter', está diseñado para subir archivos desde '/mnt/user-data', un directorio dedicado que la herramienta de inteligencia artificial Claude de Anthropic utiliza para gestionar cargas y salidas en segundo plano. La actividad ha sido denominada Malware-Slop.

"Al analizar el malware, resulta que el script se presenta como una utilidad interna de 'sincronización de despliegue de archivo' que valida o inicializa un repositorio de GitHub, captura una instantánea ligera de 'estado de red' y luego realiza una sincronización estructurada de archivos del espacio de trabajo local a un árbol de seguimiento remoto," afirmaron los investigadores Moshe Siman Tov Bustan y Nir Zadok.

En realidad, sin embargo, se autentica en GitHub durante la etapa de postinstalación, ya sea usando un token de acceso de GitHub encontrado en el entorno de la víctima o un token codificado como respaldo, verifica si existe un repositorio destino y, si no, lo crea, y luego sube recursivamente todos los archivos a una cuenta de GitHub controlada por el actor de amenazas.

Los archivos robados se almacenan en carpetas con nombres aleatorios para ayudar al operador a distinguir entre diferentes sesiones de robo. El malware también escribe un registro falso de 'conexiones de red' para dar la impresión de que está enviando información de diagnóstico, mientras oculta su verdadero comportamiento operativo de recolección no autorizada y transferencia remota de datos locales.

El paquete aún está disponible para descarga en npm y se estima que ha sido descargado 676 veces. Sin embargo, no está claro cuántas de estas corresponden a instalaciones reales. La cuenta de GitHub vinculada a la campaña ya no está disponible, aunque OX señaló que fue creada el 26 de mayo de 2026, pocas horas antes de que la primera versión maliciosa se subiera a npm.

Lo notable del paquete es que filtró detalles de la cuenta de GitHub, incluido su token privado, lo que sugiere la posibilidad de que el actor de amenazas esté utilizando IA para generar malware sin implementar las mejores prácticas básicas de seguridad operativa (OPSEC).

"Ahora que la barrera para crear código malicioso se ha reducido significativamente, vamos a ver más actores de amenazas entrando en el juego, subiendo más malwares descuidados, principalmente imitando a grupos APT para obtener una porción del pastel hasta que npm comience a bloquear automáticamente el malware por completo," declaró OX Security.