Un paquete npm malicioso fue detectado robando archivos a usuarios de Claude AI — y forma parte de un patrón creciente
Un paquete malicioso subido silenciosamente al registro npm fue detectado robando archivos de desarrolladores que usan Claude AI — extrayendo todo el contenido del directorio que Claude utiliza para gestionar subidas y archivos de trabajo, y enviándolos a un repositorio de GitHub controlado por el atacante. El paquete, llamado "mouse5212-super-formatter", fue descargado unas 676 veces antes de ser señalado por investigadores de The Hacker News.
El ataque es relativamente simple en diseño pero efectivo en su objetivo. Durante la instalación, el paquete se autentica en GitHub — usando un Token encontrado en el entorno de la víctima si existe, o recurriendo a una credencial codificada — y luego sube recursivamente todos los archivos dentro de /mnt/user-data, el directorio que Claude usa para manejar subidas y salidas en segundo plano. El resultado es una exfiltración silenciosa y automatizada que la mayoría de los desarrolladores nunca notarían hasta que el daño estuviera hecho.
Una nueva superficie de ataque: las herramientas de codificación con IA
Lo que hace notable este incidente no es su sofisticación técnica — es el objetivo. Los asistentes de codificación con IA como Claude Code se han convertido en infraestructura indispensable para un segmento creciente de desarrolladores de software profesionales. Esa adopción generalizada los ha convertido en una superficie de ataque atractiva.
La cuenta de GitHub utilizada en esta campaña fue creada el 26 de mayo de 2026 — solo horas antes de que el paquete malicioso se subiera por primera vez a npm. Esa configuración rápida sugiere una operación dirigida y oportunista, más que una campaña prolongada y paciente. Los investigadores también observaron un fallo básico de seguridad operativa por parte del atacante: el Token de GitHub codificado estaba expuesto dentro del paquete, revelando potencialmente la propia infraestructura del actor de la amenaza.
El patrón más amplio de ataque a herramientas de IA
Este incidente no existe de forma aislada. Desde principios de 2026, los investigadores de seguridad han documentado un aumento significativo en ataques a la cadena de suministro dirigidos específicamente a herramientas de desarrollo de IA. SafeDep señaló una campaña separada en la que cinco paquetes npm de typosquatting — publicados con horas de diferencia por cuentas llamadas "superbase" y "micresoft" — contenían binarios ocultos de 4.5 MB dentro de un directorio .claude/ que se ejecutaban tanto en la instalación como en cada inicio de sesión posterior de Claude Code.
Otras campañas han utilizado envenenamiento SEO para promocionar instaladores falsos de Claude Code, han realizado ingeniería inversa de los internos de Claude Code para enrutar el tráfico a través de proxies controlados por atacantes, e incluso han creado señuelos que se hacen pasar por Gemini y Claude Code para distribuir infostealers. El patrón es consistente: los atacantes van a donde están los desarrolladores, y ahora mismo, las herramientas de codificación con IA son donde están los desarrolladores.
Por qué este vector de amenaza es particularmente peligroso
Los ataques tradicionales a la cadena de suministro dependen de que los desarrolladores instalen paquetes que no examinan detenidamente. Los flujos de trabajo de codificación con IA introducen una arruga adicional: el propio agente de IA puede ser manipulado para instalar paquetes maliciosos a través de Prompts cuidadosamente elaborados. Una técnica que los investigadores han llamado "PromptMink" demuestra cómo un actor malicioso podría instruir a un agente basado en Claude para instalar un paquete troyanizado, convirtiendo efectivamente la confianza y autonomía de la IA en una superficie de ataque.
Los archivos almacenados en los directorios de trabajo de Claude también pueden ser excepcionalmente sensibles. Los desarrolladores suelen pasar archivos de contexto, credenciales de API, fragmentos de configuración y código propietario a Claude como parte de su flujo de trabajo. Un atacante que pueda drenar ese directorio obtiene no solo los archivos en sí, sino una ventana a todo el entorno de trabajo del desarrollador — estructura del proyecto, secretos, integraciones y más.
Qué deberían hacer los desarrolladores
Los pasos inmediatos son directos pero vale la pena indicarlos claramente. Audite los paquetes npm instalados en busca de algo desconocido, especialmente paquetes instalados recientemente que dicen ser funciones de utilidad, formateadores o utilidades de sincronización. Revise su entorno en busca de Tokens de GitHub inesperados o actividad de red inusual durante la instalación de paquetes. Si usa Claude Code en un proyecto, trate /mnt/user-data y directorios equivalentes como sensibles y evite dejar credenciales o secretos allí.
En términos más amplios, la lección de esta campaña es que las mismas prácticas de higiene que se aplican a cualquier dependencia de software se aplican igualmente a los paquetes que soportan su cadena de herramientas de IA. El hecho de que un paquete se haya instalado para apoyar un flujo de trabajo de IA no lo hace más confiable — puede hacerlo más peligroso, porque esos flujos de trabajo tienden a tener acceso a un contexto más sensible que una dependencia típica.
Las herramientas de seguridad que escanean paquetes npm antes de la instalación y señalan paquetes recién registrados con pocas descargas pueden detectar muchos de estos ataques antes de que se ejecuten. El paquete mouse5212-super-formatter era, en retrospectiva, fácil de marcar: una cuenta recién registrada, un nombre sospechosamente genérico, un script postinstall que realiza llamadas de red salientes. La infraestructura para detectar estos patrones existe. El desafío es asegurarse de que realmente se aplique a la capa de herramientas de IA, no solo a las dependencias de producción.
A medida que las herramientas de codificación con IA se integran más profundamente en los flujos de trabajo de desarrollo profesional, los incentivos para atacarlas solo aumentarán. Este incidente es un recordatorio de que la confianza que los desarrolladores depositan en sus cadenas de herramientas de IA debe ser acompañada de controles de seguridad proporcionados — no asumida.
Fuente: The Hacker News, SafeDep, Trend Micro Research