Phát hiện gói npm độc hại đánh cắp dữ liệu từ Claude AI

[Nguyễn Tiến Đạt]

Các chuyên gia từ OX Security vừa phát hiện một gói npm độc hại có tên “mouse5212-super-formatter” được sử dụng để đánh cắp dữ liệu từ môi trường làm việc của Claude AI.

Theo phân tích, package này tự động chạy mã độc sau khi được cài đặt, thu thập dữ liệu trong thư mục /mnt/user-data — nơi Claude AI sử dụng để lưu trữ file upload và dữ liệu xử lý nền. Sau đó, toàn bộ tệp tin sẽ bị tải lên repository GitHub do kẻ tấn công kiểm soát.

Malware còn có khả năng tìm kiếm GitHub token trong hệ thống nạn nhân để phục vụ việc đánh cắp dữ liệu. Đáng chú ý, package này tạo các log “network diagnostics” giả nhằm che giấu hoạt động thực sự.

OX Security cho biết package đã ghi nhận khoảng 676 lượt tải xuống trên npm trước khi bị phát hiện. Các nhà nghiên cứu nhận định đây là dấu hiệu cho thấy tội phạm mạng đang bắt đầu nhắm mục tiêu trực tiếp vào các môi trường AI và công cụ dành cho lập trình viên.

Sự việc cũng phản ánh xu hướng mới: AI đang giúp giảm đáng kể rào cản tạo malware, khiến số lượng phần mềm độc hại trên hệ sinh thái mã nguồn mở có thể gia tăng mạnh trong thời gian tới.

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview