Schädliches npm-Paket entwendet Dateien von Claude-AI-Nutzern – Teil eines wachsenden Trends
Ein bösartiges Paket, das heimlich im npm-Registry hochgeladen wurde, hat Entwickler bestohlen, die Claude AI verwenden – es exfiltrierte den gesamten Inhalt des Verzeichnisses, das Claude für Uploads und Arbeitsdateien nutzt, und schickte ihn an ein GitHub-Repository unter Kontrolle der Angreifer. Das Paket mit dem Namen „mouse5212-super-formatter“ wurde schätzungsweise 676-mal heruntergeladen, bevor es von Forschern von The Hacker News entdeckt wurde.
Der Angriff ist im Design relativ simpel, aber effektiv im Zielen. Während der Installation authentifiziert sich das Paket gegenüber GitHub – entweder mit einem im Opfer-Umfeld gefundenen Token oder einem fest codierten Credential – und lädt dann rekursiv jede Datei aus /mnt/user-data hoch, dem Verzeichnis, das Claude für Uploads und Ausgaben im Hintergrund verwendet. Das Ergebnis ist eine leise, automatisierte Exfiltration, die die meisten Entwickler niemals bemerken würden, bis der Schaden eingetreten ist.
Eine neue Angriffsfläche: KI-Coding-Tools
Was diesen Vorfall bemerkenswert macht, ist nicht seine technische Raffinesse – es ist das Ziel. KI-Coding-Assistenten wie Claude Code sind für einen wachsenden Teil professioneller Softwareentwickler zu einer unverzichtbaren Infrastruktur geworden. Diese weite Verbreitung macht sie zu einer attraktiven Angriffsfläche.
Das in dieser Kampagne verwendete GitHub-Konto wurde am 26. Mai 2026 erstellt – nur Stunden bevor das bösartige Paket erstmals auf npm hochgeladen wurde. Diese schnelle Einrichtung deutet eher auf eine gezielte, opportunistische Operation hin als auf eine langwierige, geduldige Kampagne. Die Forscher beobachteten zudem einen grundlegenden Fehler in der Betriebssicherheit seitens der Angreifer: Der fest codierte GitHub-Token war selbst im Paket offengelegt, was möglicherweise die eigene Infrastruktur des Angreifers enthüllt.
Das größere Muster der KI-Tool-Anvisierung
Dieser Vorfall steht nicht isoliert da. Seit Anfang 2026 haben Sicherheitsforscher einen deutlichen Anstieg von Supply-Chain-Angriffen dokumentiert, die speziell auf KI-Entwicklerwerkzeuge abzielen. SafeDep wies auf eine separate Kampagne hin, in der fünf Typosquatting-npm-Pakete – innerhalb weniger Stunden von Konten namens „superbase“ und „micresoft“ veröffentlicht – versteckte Binärdateien von 4,5 MB in einem .claude/-Verzeichnis auslieferten, die sowohl bei der Installation als auch bei jedem weiteren Start einer Claude-Code-Sitzung ausgeführt wurden.
Andere Kampagnen nutzten SEO-Poisoning, um gefälschte Claude-Code-Installer zu bewerben, reverse-engineerten Claude-Code-Interna, um Datenverkehr über vom Angreifer kontrollierte Proxys zu leiten, und entwickelten sogar Köder, die Gemini und Claude Code nachahmen, um Infostealer zu verbreiten. Das Muster ist konsistent: Angreifer gehen dorthin, wo Entwickler sind, und derzeit sind KI-Coding-Tools genau der Ort.
Warum dieser Angriffsvektor besonders gefährlich ist
Traditionelle Supply-Chain-Angriffe setzen darauf, dass Entwickler Pakete installieren, die sie nicht genau prüfen. KI-Coding-Workflows enthalten eine zusätzliche Komplikation: Der KI-Agent selbst kann durch sorgfältig formulierte Prompts dazu manipuliert werden, bösartige Pakete zu installieren. Eine Technik, die Forscher „PromptMink“ genannt haben, zeigt, wie ein böswilliger Akteur einen Claude-basierten Agenten anweisen kann, ein trojanisiertes Paket zu installieren, wodurch das Vertrauen und die Autonomie der KI effektiv zur Angriffsfläche werden.
Die in Claudes Arbeitsverzeichnissen gespeicherten Dateien können zudem einzigartig sensibel sein. Entwickler übergeben häufig Kontextdateien, API-Credentials, Konfigurationsausschnitte und proprietären Code an Claude als Teil ihres Workflows. Ein Angreifer, der dieses Verzeichnis anzapfen kann, erhält nicht nur die Dateien selbst, sondern auch einen Einblick in die gesamte Arbeitsumgebung des Entwicklers – Projektstruktur, Secrets, Integrationen und mehr.
Was Entwickler tun sollten
Die unmittelbaren Schritte sind einfach, aber es lohnt sich, sie klar zu nennen. Überprüfen Sie installierte npm-Pakete auf alles Unbekannte, insbesondere kürzlich installierte Pakete, die Hilfsfunktionen, Formatierer oder Sync-Tools versprechen. Überprüfen Sie Ihre Umgebung auf unerwartete GitHub-Token oder ungewöhnliche Netzwerkaktivitäten während der Paketinstallation. Wenn Sie Claude Code in einem Projekt verwenden, behandeln Sie /mnt/user-data und ähnliche Verzeichnisse als sensibel und vermeiden Sie es, dort Credentials oder Secrets zu hinterlegen.
Allgemeiner lautet die Lehre aus dieser Kampagne, dass dieselben Hygienepraktiken, die für jede Softwareabhängigkeit gelten, auch für die Pakete gelten, die Ihre KI-Toolchain unterstützen. Die Tatsache, dass ein Paket zur Unterstützung eines KI-Workflows installiert wurde, macht es nicht vertrauenswürdiger – es kann es sogar gefährlicher machen, da diese Workflows tendenziell Zugang zu sensibleren Kontexten haben als eine typische Abhängigkeit.
Sicherheitstools, die npm-Pakete vor der Installation scannen und neu registrierte Pakete mit niedrigen Downloadzahlen markieren, können viele dieser Angriffe abfangen, bevor sie ausgeführt werden. Das Paket mouse5212-super-formatter war im Nachhinein leicht zu erkennen: ein neu registriertes Konto, ein verdächtig generischer Name, ein Postinstall-Skript mit ausgehenden Netzwerkaufrufen. Die Infrastruktur, um solche Muster zu erkennen, existiert bereits. Die Herausforderung besteht darin, sicherzustellen, dass sie auch auf die KI-Tooling-Ebene angewendet wird, nicht nur auf Produktionsabhängigkeiten.
Je tiefer KI-Coding-Tools in professionelle Entwicklungsworkflows integriert werden, desto stärker werden die Anreize, sie ins Visier zu nehmen, nur noch zunehmen. Dieser Vorfall ist eine Erinnerung daran, dass das Vertrauen, das Entwickler in ihre KI-Toolchains setzen, von angemessenen Sicherheitskontrollen begleitet werden muss – nicht einfach vorausgesetzt werden sollte.
Quelle: The Hacker News, SafeDep, Trend Micro Research