Jeśli zainstalowałeś mouse5212-super-formatter — natychmiast unieważnij tokeny GitHub dostępne w środowisku instalacji i zakładaj że wszystkie pliki z katalogu /mnt/user-data zostały skradzione. Katalog /mnt/user-data to dedykowana przestrzeń w której Claude przechowuje pliki przesłane przez użytkownika i wyniki działania narzędzi. Wszystkie wersje pakietu są złośliwe.
26 maja 2026 roku, kilka godzin przed północą, ktoś założył konto na GitHubie i wgrał pierwszy plik na testowe repozytorium. Kilka godzin później opublikował na npm pakiet o nazwie mouse5212-super-formatter.
Pakiet miał jeden cel: skraść wszystkie pliki z katalogu /mnt/user-data i wgrać je na konto GitHub atakującego.
Skrypt udawał wewnętrzne narzędzie do synchronizacji archiwum — waliduje repozytorium GitHub, zbiera "migawkę stanu sieci" i synchronizuje lokalne pliki przestrzeni roboczej ze zdalnym drzewem śledzenia. Zapisywał też fałszywy dziennik połączeń sieciowych żeby wyglądać jak narzędzie diagnostyczne, a nie narzędzie do kradzieży. Komentarze w kodzie były celowo mdłe i techniczne żeby zmniejszyć podejrzenia. IT Security News
OX Security przeanalizowało pakiet i nadało operacji nazwę Malware-Slop.
/mnt/user-data i dlaczego ten katalog jest celem
/mnt/user-data to dedykowany katalog używany przez narzędzie AI Anthropic do obsługi przesłanych plików i wyników działania w tle. The Hacker News
Dla użytkownika Claude Code: to jest miejsce gdzie lądują przesłane dokumenty, wygenerowany kod, wyniki analizy danych, eksportowane pliki. W kontekście środowisk deweloperskich — potencjalnie fragmenty kodu, pliki konfiguracyjne, dokumenty robocze, dane które deweloper przesłał do Claude żeby z nim pracować.
Jest to pierwszy znany złośliwy pakiet npm który celuje precyzyjnie w ten katalog. Nie w ogólny system plików, nie w zmienne środowiskowe, nie w klucze API — w konkretny katalog Claude. Ktoś wiedział gdzie Claude przechowuje dane i zaprojektował narzędzie do ich kradzieży.
Błąd który ujawnił wszystko
Jest jeden szczegół który The Register opisuje z widoczną satysfakcją: atakujący napisał złośliwe oprogramowanie przy pomocy AI, nie usunął własnego prywatnego tokenu GitHub z kodu, co pozwoliło badaczom OX Security śledzić skradzione pliki. IT Security News
Prywatny token GitHub w kodzie produkcyjnym złośliwego oprogramowania. To jest ten sam błąd który opisywaliśmy przy Shai-Hulud — gdzie tokeny Telegram były w plaintext w kodzie C2. Ale tam to była decyzja operacyjna. Tu to był po prostu błąd.
Analiza sugeruje że atakujący używał AI do generowania złośliwego kodu ale nie wdrożył podstawowych praktyk bezpieczeństwa operacyjnego (OPSEC). The Hacker News
OX Security dzięki temu tokenowi miało dostęp do repozytorium atakującego — i mogło zobaczyć co zostało skradzione. Około 7 aktywnych operacji eksfiltracji w repozytorium zanim je usunięto, większość to prawdopodobnie własne testy atakującego. Dark Reading
Malware-Slop jako nowa kategoria
The Hacker News cytuje badaczy OX Security z obserwacją która wykracza poza ten konkretny incydent:
"Teraz gdy poprzeczka do tworzenia złośliwego kodu została znacząco obniżona, zobaczymy więcej aktorów zagrożeń wchodzących w tę przestrzeń" — powiedzieli badacze Moshe Siman Tov Bustan i Nir Zadok. The Hacker News
Malware-Slop — nazwa nadana przez OX Security — jest precyzyjna. "Slop" to termin opisujący kod AI niskiej jakości, generowany szybko bez przemyślenia konsekwencji. Złośliwe oprogramowanie napisane przez AI przez kogoś kto nie jest doświadczonym programistą malware — funkcjonalne, celowe, ale z błędami OPSEC których doświadczony atakujący by nie popełnił.
To jest dokładnie ta demokratyzacja zdolności którą opisywaliśmy przy GTIG "to już tutaj" — obniżona bariera wejścia do ofensywnego bezpieczeństwa. Pentest Agent Suite dla badaczy z dobrymi intencjami. Malware-Slop dla tych z złymi. Technologia ta sama, intencja różna.
Połączenie z poprzednimi atakami na Claude
TrapDoor który opisywaliśmy dwa dni temu wstrzyknął złośliwe instrukcje do pliku CLAUDE.md — manipulując zachowaniem asystenta AI podczas sesji dewelopera.
TrustFall i Mitiga pokazały jak infrastruktura Claude Code może być przejęta przez złośliwe pakiety npm i pliki konfiguracyjne.
Malware-Slop jest kolejnym krokiem w tej samej linii: nie manipulacja zachowaniem agenta, nie przekierowanie tokenów OAuth — bezpośrednia kradzież plików z przestrzeni roboczej Claude. Trzy różne wektory, jeden cel: dane i poświadczenia z środowisk gdzie Claude pracuje.
Źródła
OX Security — pierwotna analiza z kodem i szczegółami eksfiltracji: https://www.ox.security/blog/malware-slop-new-malicious-npm-package-leaks-its-own-github-private-token/
The Hacker News — pełne omówienie z cytatami badaczy: https://thehackernews.com/2026/05/malicious-npm-package-stole-files-from.html
The Register — "Malware dev tries to steal Claude users' secrets, writes npm slop, leaks own GitHub private token": https://www.theregister.com/cyber-crime/2026/05/27/supply-chain-brain-drain-npm-attacker-foolishly-leaks-own-github-private-token/5247424
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł