Lažni npm formatter pokazuje kako Claudeove radne datoteke postaju meta
Sporni npm paket otvara put prema Claudeovu radnom direktoriju.📷 AI-generated image / TECH&SPACE
- ★OX Security je otkrio npm paket mouse5212-super-formatter s funkcijom izvlačenja datoteka.
- ★Meta napada bio je Claudeov radni prostor za korisničke prijenose i generirane izlaze.
- ★Slučaj širi model rizika s klasičnih developerskih tajni na AI radne datoteke.
Zlonamjerni paket na npm registryju više nije samo problem za node_modules mapu i klasične tajne u repozitoriju. Prema izvještaju The Hacker Newsa, istraživači iz OX Securityja otkrili su paket mouse5212-super-formatter koji je imao funkciju krađe informacija i bio dizajniran za upload datoteka iz direktorija /mnt/user-data.
Naziv paketa zvuči banalno, gotovo dosadno: formatter, pomoćni alat koji developer može ubaciti u projekt bez puno razmišljanja. Upravo je zato zanimljiv. Supply-chain napadi u JavaScript ekosustavu često ne moraju izgledati dramatično; dovoljno je da paket prođe kroz rutinu instalacije, skriptu ili automatizirani workflow i dobije pristup mjestu na kojem ne bi trebao biti.
Ovdje je ključan baš put /mnt/user-data. U dostavljenom kontekstu opisuje se kao namjenski direktorij koji Anthropicov Claude koristi za obradu korisničkih prijenosa i izlaznih datoteka u pozadini. To znači da meta nisu samo .env datoteke, SSH ključevi, npm tokeni ili konfiguracije CI sustava. Meta mogu biti dokumenti, kodni isječci, analize, privremeni izvozi i materijali koje korisnik daje AI alatu radi obrade.
OX Security navodi da je mouse5212-super-formatter pokušavao uploadati datoteke iz /mnt/user-data, direktorija povezanog s Claudeovim prijenosima i izlaznim datotekama.
Meta napada je mapa s prijenosima i izlazima AI alata.📷 AI-generated image / TECH&SPACE
To mijenja model prijetnje. Klasičan napad kroz paket-registry obično se čita kao developerski incident: netko instalira krivu ovisnost, paket se izvrši i napadač traži pristup repozitoriju ili infrastrukturi. U ovom slučaju površina je šira jer AI alat postaje radni prostor. Ako se u tom prostoru nalaze ulazne datoteke i izlazi modela, onda zlonamjerni paket ne cilja samo razvojni proces, nego i sadržaj koji se možda nikada ne sprema u git.
Posebno je nezgodno što se napad oslanja na poznati obrazac povjerenja. Formatter nije kategorija koja sama po sebi pali alarm. U timovima koji brzo testiraju pakete, koriste generirane skripte ili prepuštaju dio instalacijskih odluka automatizaciji, takav naziv može proći kao obična pomoćna biblioteka. No svaka ovisnost koja može čitati izvan očekivanog projektnog direktorija mora se tretirati kao sigurnosni signal, ne kao implementacijski detalj.
Za organizacije koje koriste AI asistente u razvoju pouka nije da treba panično izbaciti alate poput Claudea. Pouka je da AI radni direktoriji moraju ući u isti zaštitni model kao izvorni kod, tajne i build artefakti. Ako paket može dosegnuti mapu s korisničkim prijenosima, pregled ovisnosti mora pokrivati i taj put podataka.
Praktično, to znači strožu provjeru novih npm paketa, zaključavanje verzija, pregled install skripti i jasniju segmentaciju direktorija koje razvojni alati smiju čitati. npmova dokumentacija o sigurnosti paketa već tretira ovisnosti kao dio napadne površine. Ovaj slučaj samo dodaje AI sloj na istu jednadžbu: kada AI alat postane mjesto na koje korisnik ubacuje osjetljive datoteke, pomoćni paket koji može dotaknuti taj prostor prestaje biti bezazlen.
