Я прохожу курс “от 0 до Linux админа” вот здесь https://yodo.im/courses/linux/?v=1d20b5ff1ee9 и столкнулся с проблемой, о которой хотелось бы обсудить сообществом: A malicious npm package specifically targeted Anthropic Claude’s /mnt/user-data directory — is AI-native supply chain targeting now a pattern we should expect?
Компания OX Security раскрыла злонамеренный пакет npm с названием mouse5212-super-formatter (кампания: Malware-Slop), созданный специально для эксфильтрации файлов из рабочей директории AI-инструмента Claude (/mnt/user-data).
Что делает этот случай технически интересным:
- Знание архитектуры — атака была направлена не на произвольные пути к учетным данным, а специфически на путь, который использует Claude Code для работы с файлами, что подразумевает предварительное изучение файловой системы инструмента.
- Исполнение после установки — выполняется при установке без предварительного обзора. Стандартная техника, но в сочетании с целью на AI-инструменты создает особый риск для разработческой среды, насыщенной AI.
- Эксфильтрация через GitHub — создается репозиторий на управляемом злоумышленником аккаунте, файлы загружаются рекурсивно в случайно названные папки, и создается поддельный лог “сетевого статуса” для маскировки.
- Утечка частного токена GitHub злоумышленника в теле вредоносного ПО — это помогло OX Security проследить атаку. Классический случай “неаккуратного повреждения вредоносного ПО с помощью ИИ” — целенаправленная инструкция, катастрофический OPSEC.
Компания сообщила о 676 загрузках до момента выявления. Аккаунт GitHub был создан за несколько часов до загрузки 26 мая 2026 года.
Вопрос с точки зрения моделирования угроз: является ли это началом новой модели, когда атакующие систематически исследуют внутренности AI-инструментов (Claude, Cursor, Copilot) и разрабатывают целевые угрозы, основываясь на их специфической структуре файловой системы? Точное нацеливание на /mnt/user-data, а не на стандартные пути, предполагает преднамеренность.
Ранее я освещал атаку Red Hat Miasma npm — аналогичная схема доставки, но нацеленная на облачные учетные данные. Malware-Slop кажется аналогичным сценарием, примененным к AI-инструментам. Дополнительная информация здесь: https://www.techgines.com/post/red-hat-npm-supply-chain-attack-miasma
Полный технический разбор с цепочкой атаки и списком мер профилактики: https://www.techgines.com/post/malware-slop-the-malicious-npm-package-that-targeted-anthropic-s-claude-ai-supply-chain-and-lea
Интересно узнать, видел ли кто-то из сообщества случаи нацеливания на другие пути, специфичные для AI-инструментов (директории рабочего пространства Cursor, локальные кэши Copilot и т.д.), или это всё еще изолировано для Claude Code?