Malicious npm Package Steals Files from Claude AI Users

Cybersecurity-Forscher haben ein neues bösartiges Paket im npm-Registry entdeckt, das mit Funktionen zum Stehlen von Informationen ausgestattet ist. Das Paket mit dem Namen "mouse5212-super-formatter" wurde von OX Security identifiziert und ist darauf ausgelegt, Dateien aus dem Verzeichnis "/mnt/user-data" hochzuladen. Dieses Verzeichnis wird von Anthropic's Claude, einem KI-Tool, verwendet, um Uploads und Ausgaben im Hintergrund zu verwalten. Die Entdeckung des Pakets wirft ernsthafte Sicherheitsbedenken auf, insbesondere für Nutzer von Claude AI. Das Verzeichnis, aus dem die Dateien gestohlen werden, enthält sensible Informationen, die für die Benutzer von Claude von Bedeutung sind.

Forscher haben festgestellt, dass das Paket in der Lage ist, Daten ohne das Wissen der Benutzer zu extrahieren und an einen externen Server zu senden. OX Security hat die Funktionsweise des Pakets detailliert untersucht und festgestellt, dass es sich um eine gezielte Attacke handelt. Die Malware nutzt Schwachstellen in der npm-Umgebung aus, um sich unbemerkt zu installieren. Nach der Installation kann das Paket auf die Benutzerverzeichnisse zugreifen und Dateien hochladen, die möglicherweise vertrauliche Informationen enthalten. Die Sicherheitsforscher haben auch darauf hingewiesen, dass das Paket nicht nur für Claude-Nutzer gefährlich ist, sondern auch für andere Entwickler, die npm-Pakete verwenden.

Die Verbreitung solcher bösartiger Pakete könnte das Vertrauen in die npm-Registry untergraben und Entwickler dazu zwingen, ihre Sicherheitspraktiken zu überdenken. Anthropic hat auf die Entdeckung reagiert und empfiehlt seinen Nutzern, vorsichtig mit Drittanbieter-Paketen umzugehen. Das Unternehmen hat bereits Maßnahmen ergriffen, um die Sicherheit seiner Plattform zu erhöhen und die Nutzer über potenzielle Risiken zu informieren. Die Sicherheitsabteilung von Anthropic arbeitet eng mit OX Security zusammen, um die Auswirkungen des Vorfalls zu bewerten. Die Entdeckung des "mouse5212-super-formatter"-Pakets ist nicht der erste Vorfall dieser Art.

In der Vergangenheit gab es bereits mehrere Fälle von bösartigen npm-Paketen, die darauf abzielten, Daten von Benutzern zu stehlen. Sicherheitsforscher warnen, dass solche Angriffe in Zukunft zunehmen könnten, da immer mehr Entwickler auf Open-Source-Pakete angewiesen sind. Um die Sicherheit zu gewährleisten, sollten Entwickler regelmäßig ihre Abhängigkeiten überprüfen und sicherstellen, dass sie nur vertrauenswürdige Pakete verwenden. Die Verwendung von Tools zur Sicherheitsüberprüfung kann helfen, potenzielle Bedrohungen frühzeitig zu erkennen und zu verhindern. OX Security hat bereits eine Liste von Empfehlungen veröffentlicht, um die Sicherheit bei der Verwendung von npm-Paketen zu erhöhen.

Die Vorfälle rund um das bösartige npm-Paket haben auch die Diskussion über die Notwendigkeit von besseren Sicherheitsstandards in der Open-Source-Community angestoßen. Experten fordern eine stärkere Regulierung und Überwachung von Paketen, um die Integrität der Software-Ökosysteme zu schützen. Die npm-Registry selbst hat angekündigt, ihre Sicherheitsrichtlinien zu überprüfen und gegebenenfalls anzupassen. Die Sicherheitslücke, die durch das "mouse5212-super-formatter"-Paket ausgenutzt wird, könnte weitreichende Folgen für die Entwicklergemeinschaft haben. OX Security hat bereits erste Schätzungen veröffentlicht, wonach bis zu 30.000 Entwickler potenziell betroffen sein könnten.

genaue Anzahl der betroffenen Nutzer wird derzeit noch ermittelt. Die Sicherheitsforschung wird weiterhin intensiv betrieben, um die Auswirkungen des Vorfalls zu analysieren und geeignete Maßnahmen zu ergreifen. OX Security plant, in den kommenden Wochen weitere Informationen zu veröffentlichen, um die Entwicklergemeinschaft über die neuesten Entwicklungen zu informieren. Die Entdeckung des bösartigen Pakets hat die Aufmerksamkeit der Sicherheitsbehörden auf sich gezogen. Experten raten dazu, die Sicherheitspraktiken zu verbessern und sich über aktuelle Bedrohungen zu informieren.

Die npm-Registry hat bereits angekündigt, dass sie die Sicherheitsüberprüfungen ihrer Pakete verstärken wird. OX Security hat die Community aufgefordert, verdächtige Aktivitäten zu melden und bei der Identifizierung von bösartigen Paketen zu helfen. Die Zusammenarbeit zwischen Entwicklern und Sicherheitsforschern wird als entscheidend angesehen, um die Integrität der Software-Ökosysteme zu gewährleisten. Die Sicherheitslücke wurde am 30. Mai 2026 entdeckt und hat bereits zu einer erhöhten Wachsamkeit innerhalb der Entwicklergemeinschaft geführt.