Vibe-Coding-Verdacht: Datenpanne in NPM-Paket legt Malware-Operation offen

Summary

Vibe-Coding-Verdacht: Datenpanne in NPM-Paket legt Malware-Operation offen Ein Angreifer wollte über ein NPM-Paket Malware verbreiten und Daten abgreifen. Forscher haben ihn aber aufgrund eines Fehlers durchschaut. 28. Mai 2026 um 10:45 Uhr / Marc Stöckel Das NPM-Paket des Angreifers ist nicht mehr verfügbar. Bild: npmjs.com / Foto Sicherheitsforscher von OX Security haben einen Malware-Angriff beobachtet, bei dem der Angreifer offenbar wenig Gespür für seine eigene operative Sicherheit hatte. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) versuchte der Angreifer, durch ein NPM-Paket einen Infostealer zu verbreiten. Das Paket enthielt jedoch sein Github-Token, so dass die Forscher die Malware-Aktivitäten ziemlich genau nachverfolgen konnten. Das besagte Paket trug den Namen mouse5212-super-formatter und soll am 27. Mai noch in der NPM-Datenbank verfügbar gewesen sein. Inzwischen ist das jedoch nicht mehr der Fall. Wer den Link zum Paket(öffnet im neuen Fenster) auf npmjs.com aufruft, wird lediglich mit einer 404-Fehlerseite abgespeist.Einige Nutzer scheinen die Malware bis dahin aber heruntergeladen zu haben. Laut OX Security hatte das Paket zuletzt 676 Downloads. Zudem soll es über das Github-Repository des Angreifers sieben Datenexfiltrationsversuche gegeben haben. Die Forscher gehen aber davon aus, dass ein Großteil davon nur Tests waren, die der Angreifer selbst durchgeführt hat.Lokale Daten über Github ausgeleitetDen Angaben zufolge authentifizierte sich die Malware unmittelbar nach der Installation bei Github und lud Daten aus dem lokalen Verzeichnis /mnt/user-data in ein Repository des Angreifers. Wie The Register berichtet(öffnet im neuen Fenster), operiert Anthropics KI-Coding-Tool Claude regulär in dem besagten Verzeichnis. Der Angreifer hatte es also offenbar auf Daten von Claude-Nutzern abgesehen. Laut OX Security war die Malware als eine Art Archiv-Synchronisationstool getarnt, welches einen Snapshot erstellt und Daten aus dem lokalen Workspace ...