Pacote npm malicioso é flagrado roubando arquivos de usuários do Claude AI — e faz parte de um padrão crescente de ataques
Um pacote malicioso enviado discretamente ao registro npm foi flagrado roubando arquivos de desenvolvedores que usam o Claude AI — exfiltrando todo o conteúdo do diretório que o Claude utiliza para gerenciar uploads e arquivos de trabalho, e enviando-os para um repositório GitHub controlado pelo atacante. O pacote, chamado "mouse5212-super-formatter", foi baixado cerca de 676 vezes antes de ser denunciado por pesquisadores do The Hacker News.
O ataque é relativamente simples em design, mas eficaz no alvo. Durante a instalação, o pacote autentica no GitHub — usando um token encontrado no ambiente da vítima, se existir, ou recorrendo a uma credencial fixa — e depois faz upload recursivo de todos os arquivos dentro de /mnt/user-data, o diretório que o Claude usa para lidar com uploads e saídas em segundo plano. O resultado é uma exfiltração silenciosa e automatizada que a maioria dos desenvolvedores jamais notaria até que o estrago estivesse feito.
Uma nova superfície de ataque: ferramentas de codificação de IA
O que torna este incidente notável não é sua sofisticação técnica — é o alvo. Assistentes de codificação de IA como o Claude Code se tornaram infraestrutura indispensável para um segmento crescente de desenvolvedores de software profissionais. Essa adoção generalizada os transformou em uma superfície de ataque atraente.
A conta GitHub usada nesta campanha foi criada em 26 de maio de 2026 — apenas horas antes do pacote malicioso ser enviado ao npm pela primeira vez. Essa configuração rápida sugere uma operação oportunista e direcionada, em vez de uma campanha longa e paciente. Pesquisadores também observaram uma falha básica de segurança operacional por parte do atacante: o token GitHub fixo foi exposto dentro do próprio pacote, potencialmente revelando a infraestrutura do próprio agente da ameaça.
O padrão mais amplo de direcionamento a ferramentas de IA
Este incidente não existe isolado. Desde o início de 2026, pesquisadores de segurança documentaram um aumento significativo em ataques à cadeia de suprimentos especificamente voltados para ferramentas de desenvolvimento de IA. A SafeDep sinalizou uma campanha separada na qual cinco pacotes npm de typosquatting — publicados com horas de diferença por contas chamadas "superbase" e "micresoft" — enviaram binários ocultos de 4,5 MB dentro de um diretório .claude/ que eram executados tanto na instalação quanto em cada inicialização de sessão do Claude Code subsequente.
Outras campanhas usaram envenenamento de SEO para promover instaladores falsos do Claude Code, fizeram engenharia reversa de componentes internos do Claude Code para rotear tráfego através de proxies controlados por atacantes, e até criaram iscas que se passam pelo Gemini e pelo Claude Code para entregar infostealers. O padrão é consistente: os atacantes vão para onde os desenvolvedores estão, e agora, as ferramentas de codificação de IA são onde os desenvolvedores estão.
Por que esse vetor de ameaça é particularmente perigoso
Ataques tradicionais à cadeia de suprimentos dependem de desenvolvedores instalarem pacotes que não examinam de perto. Fluxos de trabalho de codificação de IA introduzem uma complicação adicional: o próprio agente de IA pode ser manipulado para instalar pacotes maliciosos através de prompts cuidadosamente elaborados. Uma técnica que os pesquisadores chamaram de "PromptMink" demonstra como um ator malicioso poderia instruir um agente baseado em Claude a instalar um pacote trojanizado, transformando efetivamente a confiança e autonomia da IA em uma superfície de ataque.
Os arquivos armazenados nos diretórios de trabalho do Claude também podem ser exclusivamente sensíveis. Os desenvolvedores frequentemente passam arquivos de contexto, credenciais de API, trechos de configuração e código proprietário para o Claude como parte de seu fluxo de trabalho. Um atacante que consegue drenar esse diretório obtém não apenas os arquivos em si, mas uma janela para todo o ambiente de trabalho do desenvolvedor — estrutura do projeto, segredos, integrações e muito mais.
O que os desenvolvedores devem fazer
As medidas imediatas são diretas, mas vale a pena afirmá-las claramente. Audite os pacotes npm instalados em busca de qualquer coisa desconhecida, especialmente pacotes instalados recentemente que afirmam ser funções utilitárias, formatadores ou utilitários de sincronização. Verifique seu ambiente em busca de tokens GitHub inesperados ou atividade de rede incomum durante a instalação de pacotes. Se você usa o Claude Code em um projeto, trate /mnt/user-data e diretórios equivalentes como sensíveis e evite deixar credenciais ou segredos lá.
De forma mais ampla, a lição desta campanha é que as mesmas práticas de higiene que se aplicam a qualquer dependência de software se aplicam igualmente aos pacotes que suportam sua cadeia de ferramentas de IA. O fato de um pacote ter sido instalado para suportar um fluxo de trabalho de IA não o torna mais confiável — pode torná-lo mais perigoso, porque esses fluxos de trabalho tendem a ter acesso a contexto mais confidencial do que uma dependência típica.
Ferramentas de segurança que escaneiam pacotes npm antes da instalação e sinalizam pacotes recém-registrados com baixa contagem de downloads podem pegar muitos desses ataques antes que eles sejam executados. O pacote mouse5212-super-formatter era, em retrospectiva, simples de sinalizar: uma conta recém-registrada, um nome suspeitamente genérico, um script pós-instalação fazendo chamadas de rede externas. A infraestrutura para detectar esses padrões existe. O desafio é garantir que ela seja de fato aplicada à camada de ferramentas de IA, e não apenas às dependências de produção.
À medida que as ferramentas de codificação de IA se integram mais profundamente nos fluxos de trabalho de desenvolvimento profissional, os incentivos para alvejá-las só aumentarão. Este incidente é um lembrete de que a confiança que os desenvolvedores depositam em suas cadeias de ferramentas de IA precisa ser correspondida por controles de segurança proporcionais — não assumida.
Fonte: The Hacker News, SafeDep, Trend Micro Research