Thought Leadership
Das npm-Paket mouse5212-super-formatter stiehlt Daten aus dem Arbeitsverzeichnis des KI-Tools Claude. Forscher vermuten KI-generierten Schadcode.
Sicherheitsanalysten des IT-Sicherheitsunternehmens OX Security haben im Mai 2026 eine neue Bedrohung innerhalb des Ökosystems für Open-Source-Software identifiziert. Ein bösartiges Softwarepaket mit der Bezeichnung mouse5212-super-formatter wurde im offiziellen npm-Register entdeckt. Die Schadsoftware verfügt über spezialisierte Funktionen zum Diebstahl vertraulicher Informationen und zielt in ihrer logischen Struktur auf eine sehr spezifische Systemkomponente ab. Nach den Analysen der Forscher ist das Paket darauf ausgelegt, Daten systematisch aus dem Verzeichnis /mnt/user-data auszulesen und zu exfiltrieren.
Bei diesem Pfad handelt es sich um einen dedizierten Ordner, der von Anthropics künstlichem Intelligenzwerkzeug Claude genutzt wird, um Datei-Uploads und generierte Ausgaben im Hintergrund zu verarbeiten. Die Entdeckung verdeutlicht, dass Angreifer ihre Strategien zunehmend an die veränderten Arbeitsgewohnheiten von Softwareentwicklern anpassen, die im Jahr 2026 verstärkt generative KI-Assistenten direkt in ihre lokalen Programmierumgebungen integrieren. Die Sicherheitsforscher gaben der beobachteten Aktivität den Codenamen Malware-Slop, was auf die nachlässige technische Umsetzung des Angriffs hindeutet.
Schadsoftware tarnt sich als Werkzeug für Archiv-Bereitstellungen
Die Schadsoftware tarnt ihre bösartigen Aktivitäten im System, indem sie sich als legitimes Dienstprogramm ausgibt. Die detaillierte Code-Analyse der Sicherheitsforscher Moshe Siman Tov Bustan und Nir Zadok ergab, dass sich das Skript als internes Werkzeug zur Synchronisation von Archiv-Bereitstellungen darstellt. Die offizielle Beschreibung suggeriert dem Anwender, dass die Software ein GitHub-Repository validiert oder initialisiert, einen einfachen Schnappschuss des Netzwerkstatus erfasst und anschließend eine strukturierte Synchronisation von lokalen Workspace-Dateien in einen Remote-Tracking-Baum durchführt.
Die tatsächliche Schadfunktion wird unmittelbar während der Post-Installation-Phase aktiv. In dieser Phase authentifiziert sich das Skript automatisch bei der Entwicklerplattform GitHub. Hierzu nutzt es entweder einen im System des Opfers hinterlegten GitHub-Zugriffstoken oder greift auf einen im Programmcode fest hinterlegten Token als Fallback-Lösung zurück. Das Programm prüft sodann, ob ein Ziel-Repository auf GitHub existiert. Sollte dies nicht der Fall sein, erstellt die Software eigenständig ein neues Repository und lädt anschließend sämtliche Dateien aus dem Zielverzeichnis rekursiv auf ein vom Angreifer kontrolliertes GitHub-Konto hoch.
Vertuschung über gefälschte Netzwerkprotokolle
Um eine Entdeckung durch Systemadministratoren oder automatisierte Sicherheitsüberwachungen zu verhindern, wendet die Malware gezielte Täuschungsmanöver an. Die gestohlenen Dateien werden auf dem externen GitHub-Konto in zufällig benannten Ordnern abgelegt. Diese Strukturierung hilft dem Betreiber der Kampagne, die Daten verschiedener Diebstahlsitzungen und infizierter Systeme sauber voneinander zu trennen. Parallel dazu schreibt die Software ein gefälschtes Protokoll für Netzwerkverbindungen auf dem lokalen Rechner. Dieser Fake-Log soll den Eindruck erwecken, dass das Programm lediglich routinemäßige Diagnoseinformationen sammelt und übermittelt, während im Hintergrund das unbefugte Sammeln und die Remote-Übertragung der lokalen Anwenderdaten stattfindet.
Zum Zeitpunkt der Veröffentlichung des Berichts war das Paket im npm-Register weiterhin für den Download verfügbar und verzeichnete insgesamt 676 Downloads. Wie viele dieser Abrufe tatsächlichen Installationen auf produktiven Systemen oder automatisierten Build-Servern entsprechen, lässt sich anhand der reinen Download-Statistik jedoch nicht präzise bestimmen. Das mit der Kampagne verknüpfte GitHub-Konto wurde inzwischen deaktiviert. Archivdaten zeigen, dass dieses Konto am 26. Mai 2026 erstellt wurde, nur wenige Stunden vor dem ersten Upload des manipulierten Pakets auf npm.
Nachlässige Betriebssicherheit deutet auf KI-Generierung hin
Ein besonders bemerkenswerter Aspekt dieser Schadsoftware-Kampagne betrifft die mangelhafte operative Absicherung des Angreifers. Die Entwickler des Pakets mouse5212-super-formatter begingen den fundamentalen Fehler, vertrauliche Details ihres eigenen GitHub-Kontos im öffentlich einsehbaren Quellcode zu hinterlassen, einschließlich des privaten Zugriffstokens. Diese gravierende Schwachstelle in der operativen Sicherheit, in Fachkreisen als mangelhafte OPSEC bezeichnet, nährt den Verdacht, dass der Schadcode nicht von einem menschlichen Experten geschrieben, sondern mithilfe von generativer künstlicher Intelligenz erzeugt wurde.
Da automatisierte Codegeneratoren zwar funktionale Skripte erstellen, aber logische Absicherungen oder die Geheimhaltung von Zugangsdaten im Bereitstellungsprozess oft vernachlässigen, kommt es vermehrt zu solchen fehlerhaften Schadcode-Injektionen. Die Analysten von OX Security betonen, dass die technologische Hürde für die Erstellung bösartiger Programmierungen durch den Einsatz von KI drastisch gesunken ist. Dies führt dazu, dass immer mehr Akteure ohne tiefgehendes technisches Verständnis minderwertige Schadsoftware in Umlauf bringen, die oft bekannte Strukturen fortschrittlicher Bedrohungsgruppen nachahmt, bis die Paketregister automatisierte Blockierungsmechanismen flächendeckend implementieren.
Claude-Implikationen für die IT-Governance und das Risikomanagement
Für das IT-Risikomanagement und die IT-Governance in Unternehmen unterstreicht der Vorfall die akute Notwendigkeit einer verschärften Kontrolle von Open-Source-Abhängigkeiten und KI-Arbeitsverzeichnissen. Da Entwickler-Workstations und die dortigen lokalen Verzeichnisse wie /mnt/user-data sensible Unternehmensdaten, unveröffentlichte Quelltexte oder vertrauliche Dokumente enthalten, müssen diese Bereiche isoliert werden. Eine effektive operationalisierbare Verteidigungsstrategie erfordert die Implementierung von automatisierten Scannern, die externe Repositories vor der Integration in die interne Toolchain auf Anomalien in der Post-Install-Phase prüfen.
Zudem müssen Organisationen den unkontrollierten Download von npm-Paketen einschränken und den Einsatz interner, kuratierter Spiegelserver forcieren. Betroffene Unternehmen, die das schadhafte Paket installiert haben, sollten umgehend sämtliche im System hinterlegten GitHub-Zugangstoken widerrufen, die betroffenen lokalen Verzeichnisse als kompromittiert betrachten und umfassende Passwortänderungen durchführen. Die Absicherung der Software-Lieferkette im Zeitalter der KI-gestützten Entwicklung erfordert den Übergang zu einer Zero-Trust-Architektur auf allen Ebenen der Entwicklungsinfrastruktur.
