Přejít na hlavní obsah
CIAD

Škodlivý balíček kradl soubory z AI asistenta a odesílal je útočníkovi

Balíček mouse5212-super-formatter byl stažen 676krát, než byl odhalen. Útočník odhalil vlastní identitu chybou v kódu.

Pokud vaši vývojáři používají AI asistenty jako Claude, Copilot nebo podobné nástroje, existuje nové riziko, o kterém byste měli vědět. Útočníci začínají cíleně hledat soubory, které tyto nástroje ukládají na počítači, a snaží se je odcizit.

Co se stalo

Bezpečnostní výzkumníci odhalili škodlivý balíček v registru npm (npm je veřejná knihovna, ze které si vývojáři stahují hotové části kódu) s názvem mouse5212-super-formatter. Balíček se tvářil jako utilita pro synchronizaci nasazení, ale jeho skutečným účelem bylo vyhledat soubory z adresáře Claude AI na cestě /mnt/user-data a odeslat je na GitHub repozitář útočníka.

Před odhalením a stažením si balíček stáhl 676 vývojářů.

Jak byl odhalen

GitHub účet spojený s touto kampaní byl vytvořen 26. května 2026, pouhé hodiny před nahráním balíčku na npm. Kampaň dostala označení “Malware-Slop” a je spojována se zneužitím AI-generovaného malware kódu. Zkratka AI-generovaný malware znamená, že útočník použil nástroje generativní umělé inteligence ke snížení technické náročnosti tvorby škodlivého softwaru, tedy k automatizované výrobě útočného kódu.

Útočník se pak dopustil klíčové chyby: přímo v těle balíčku omylem zveřejnil svůj privátní GitHub token (přístupový klíč ke svému účtu), čímž odhalil identitu účtu použitého pro příjem ukradených dat. Právě tento token vedl vyšetřovatele k přesné identifikaci kampaně a jejímu rychlému uzavření.

Proč je to důležité právě teď

Incident zapadá do dlouhodobého trendu útoků na dodavatelský řetězec softwaru (supply chain útoky) prostřednictvím veřejných balíčkových registrů. Útok byl přitom cíleně zaměřen na data konkrétní AI aplikace: na soubory v adresáři, kde Claude AI ukládá lokální data.

To naznačuje, že útočníci začínají aktivně mapovat, kde AI nástroje uchovávají citlivé soubory, konverzace nebo konfigurace, a cílí na tato umístění.

Pro vývojáře a DevOps týmy, kteří integrují AI asistenty do svého pracovního prostředí, to přináší novou kategorii rizika: prostředí s nainstalovanými AI nástroji mohou být atraktivním cílem balíčků, které tyto nástroje napodobují nebo na ně navazují.

Z pohledu nařízení EU AI Act a směrnice NIS2 (evropský legislativní rámec pro kybernetickou bezpečnost) jsou incidenty tohoto typu relevantní jako součást posuzování bezpečnosti dodavatelského řetězce. Organizace v regulovaných odvětvích by měly podobné incidenty vyhodnocovat jako součást hodnocení rizik svých vývojových prostředí.

Co z toho plyne

  • Vývojářské týmy by měly provést audit nainstalovaných npm balíčků, zvláště těch s nízkým počtem stažení a nedávným datem vytvoření, a ověřit jejich legitimitu vůči oficiálním zdrojům.

  • Prostředí, ve kterých jsou nainstalovány AI nástroje jako Claude, Copilot nebo obdobné, by měla mít omezený přístup ke svým datovým adresářům pro ostatní procesy a balíčky.

  • CI/CD pipeline (automatizované procesy pro sestavení a nasazení softwaru) by měly zahrnovat kontrolu integrity závislostí, konkrétně lockfiles, hash ověření a audit příkazů, jako standardní součást build procesu.

  • Bezpečnostní týmy by měly přidat monitorování přístupu k adresářům AI nástrojů jako novou detekční kategorii ve svých SIEM (systém pro sběr a analýzu bezpečnostních událostí) a EDR (nástroj pro detekci a reakci na hrozby na koncových zařízeních) systémech.

  • Incident potvrzuje hodnotu nástrojů jako npm audit, Socket.dev nebo Snyk pro průběžné sledování reputace závislostí ještě před jejich instalací do produkčního prostředí.

Zdroje:

Tento přehled sestavil automatizovaný redakční systém CIAD z veřejně dostupných zdrojů, ověřil fakta vůči více nezávislým zdrojům a uvedl je níže. Redakční odpovědnost nese CIAD. Nepřesnost nahlaste na office@ciad.cz.

← Zpět na blog