npm malicioso apunta al directorio de Claude AI

Qué pasa

OX Security identificó `mouse5212-super-formatter` en el registro npm: un paquete malicioso diseñado para exfiltrar el contenido de `/mnt/user-data`, el directorio que Anthropic Claude usa internamente para gestionar los ficheros que el usuario sube y los outputs que genera en segundo plano.

El mecanismo de exfiltración usa GitHub como canal encubierto. En lugar de conectarse a un servidor C2 (servidor de comando y control — la infraestructura que controla los equipos comprometidos) propio, el malware empuja los archivos robados a un repositorio de GitHub, lo que dificulta la detección porque el tráfico hacia `github.com` rara vez levanta alarmas.

El ataque es un *supply chain attack* (ataque a la cadena de suministro — infectar una dependencia para comprometer a todos sus usuarios): un desarrollador instala el paquete sin saber que es malicioso, y si en su entorno está corriendo Claude desktop o Claude Code, el directorio `/mnt/user-data` queda expuesto.

Por qué importa

`/mnt/user-data` no es un directorio de sistema genérico. Es específico del entorno de Anthropic Claude y puede contener: - Ficheros que el usuario subió explícitamente a Claude (PDFs, código, documentos internos). - Outputs generados por herramientas de Claude Code (resultados de ejecuciones, artefactos). - Contexto de sesiones anteriores, dependiendo de la configuración.

El perfil de víctima es concreto: desarrolladores que usan Claude Code o Claude desktop y que, en el mismo entorno, instalan paquetes npm de fuentes no verificadas. No hace falta que el paquete esté en `dependencies` del proyecto final; basta con una instalación global, un script de herramientas o un `devDependency` en un monorepo.

Usar GitHub como canal de exfiltración es una táctica documentada en campañas recientes porque bypasea controles de red que bloquearían dominios desconocidos. El IOC (huella técnica que delata el ataque) más fácil de rastrear es el repositorio destino, pero si ya fue eliminado, la ventana de detección se cierra rápido.

Qué hacer

• Ejecuta `npm ls mouse5212-super-formatter` en todos tus proyectos y entorno global (`npm ls -g`). Si aparece, desinstala y rota credenciales.
• Audita `~/.npm/_logs/` y el historial de tu gestor de paquetes para detectar cuándo se instaló el paquete.
• Revisa qué ficheros pasaron por `/mnt/user-data` en las últimas semanas; si contienen datos sensibles, asúmelos comprometidos.
• Activa alertas en tu SIEM (plataforma que centraliza y correlaciona logs de seguridad) para tráfico saliente hacia `api.github.com` desde procesos inesperados.
• Añade una regla en tu herramienta de auditoría de dependencias (Dependabot, Socket.dev, Snyk) para marcar paquetes con menos de N descargas o publicados por cuentas nuevas.

El patrón aquí es el de siempre: nombre de paquete inventado, funcionalidad de fachada, payload oculto. Lo que cambia es el target — el directorio de Claude — lo que indica que los atacantes están mapeando activamente qué ficheros generan las herramientas de IA instaladas en los entornos de desarrollo.