AIO APEX
Security

یک بسته مخرب در npm فایل‌های کاربران Claude AI را به سرقت می‌برد؛ این حمله بخشی از روندی رو به رشد است

اشتراک‌گذاری:
یک بسته مخرب در npm فایل‌های کاربران Claude AI را به سرقت می‌برد؛ این حمله بخشی از روندی رو به رشد است

یک بسته مخرب که به صورت آرام در مخزن npm بارگذاری شده بود، شناسایی شد که فایل‌های توسعه‌دهندگان استفاده‌کننده از Claude AI را به سرقت می‌برد – محتویات کامل دایرکتوری که Claude برای مدیریت بارگذاری‌ها و فایل‌های کاری استفاده می‌کند را استخراج کرده و به یک مخزن گیت‌هاب تحت کنترل مهاجم ارسال می‌کرد. این بسته که "mouse5212-super-formatter" نام داشت، قبل از اینکه توسط پژوهشگران The Hacker News شناسایی شود، حدود ۶۷۶ بار دانلود شده بود.

طراحی این حمله نسبتاً ساده اما در هدف‌گیری مؤثر است. در حین نصب، بسته به گیت‌هاب احراز هویت می‌کند – با استفاده از توکنی که در محیط قربانی یافت می‌شود (در صورت وجود) یا با بازگشت به یک اعتبارنامه سخت‌کد شده – و سپس به صورت بازگشتی تمام فایل‌های داخل /mnt/user-data را بارگذاری می‌کند؛ دایرکتوری که Claude برای مدیریت بارگذاری‌ها و خروجی‌ها در پس‌زمینه استفاده می‌کند. نتیجه یک استخراج خاموش و خودکار است که اکثر توسعه‌دهندگان هرگز تا زمانی که آسیب وارد نشده باشد متوجه آن نخواهند شد.

سطح حمله جدید: ابزارهای کدنویسی هوش مصنوعی

آنچه این رویداد را قابل توجه می‌کند، پیچیدگی فنی آن نیست – بلکه هدف آن است. دستیاران کدنویسی هوش مصنوعی مانند Claude Code به زیرساخت‌های ضروری برای بخش رو به رشدی از توسعه‌دهندگان نرم‌افزار حرفه‌ای تبدیل شده‌اند. این پذیرش گسترده، آن‌ها را به یک سطح حمله جذاب تبدیل کرده است.

حساب گیت‌هاب استفاده‌شده در این کارزار در ۲۶ مه ۲۰۲۶ ایجاد شد – تنها چند ساعت قبل از بارگذاری اولین بسته مخرب در npm. این راه‌اندازی سریع نشان‌دهنده یک عملیات هدفمند و فرصت‌طلبانه است، نه یک کارزار طولانی و صبورانه. پژوهشگران همچنین یک شکست امنیتی عملیاتی از سوی مهاجم مشاهده کردند: توکن سخت‌کد شده گیت‌هاب خود در داخل بسته افشا شده بود که به طور بالقوه زیرساخت خود عامل تهدید را آشکار می‌کرد.

الگوی گسترده‌تر هدف‌گیری ابزارهای هوش مصنوعی

این رویداد در انزوا رخ نداده است. از اوایل ۲۰۲۶، پژوهشگران امنیتی افزایش قابل توجهی در حملات زنجیره تأمین مستند کرده‌اند که به طور خاص ابزارهای توسعه‌دهنده هوش مصنوعی را هدف قرار می‌دهند. SafeDep یک کارزار جداگانه را شناسایی کرد که در آن پنج بسته npm با نام‌های مشابه – که ظرف چند ساعت توسط حساب‌هایی به نام "superbase" و "micresoft" منتشر شدند – باینری‌های مخفی ۴.۵ مگابایتی را در داخل یک دایرکتوری .claude/ حمل می‌کردند که هم در زمان نصب و هم در هر شروع جلسه Claude Code بعدی اجرا می‌شدند.

کارزارهای دیگر از مسموم‌سازی SEO برای ترویج نصب‌کننده‌های جعلی Claude Code استفاده کرده‌اند، ساختار داخلی Claude Code را مهندسی معکوس کرده‌اند تا ترافیک را از طریق پروکسی‌های تحت کنترل مهاجم هدایت کنند، و حتی طعمه‌هایی ساخته‌اند که وانمود می‌کنند Gemini و Claude Code هستند تا بدافزارهای سرقت اطلاعات را توزیع کنند. الگو ثابت است: مهاجمان به جایی می‌روند که توسعه‌دهندگان حضور دارند، و در حال حاضر، ابزارهای کدنویسی هوش مصنوعی همان جایی است که توسعه‌دهندگان حضور دارند.

چرا این بردار تهدید به طور خاص خطرناک است

حملات سنتی زنجیره تأمین به این وابسته هستند که توسعه‌دهندگان بسته‌هایی را نصب کنند که آن‌ها را به دقت بررسی نمی‌کنند. گردش کار کدنویسی هوش مصنوعی یک پیچیدگی اضافی ایجاد می‌کند: خود عامل هوش مصنوعی می‌تواند با استفاده از پرامپت‌های دقیقاً طراحی‌شده برای نصب بسته‌های مخرب دستکاری شود. تکنیکی که پژوهشگران آن را "PromptMink" نامیده‌اند، نشان می‌دهد که چگونه یک بازیگر مخرب می‌تواند به یک عامل مبتنی بر Claude دستور دهد تا یک بسته آلوده را نصب کند و به طور مؤثر اعتماد و خودمختاری هوش مصنوعی را به یک سطح حمله تبدیل کند.

فایل‌های ذخیره‌شده در دایرکتوری‌های کاری Claude همچنین می‌توانند به طور منحصربه‌فردی حساس باشند. توسعه‌دهندگان اغلب فایل‌های زمینه، اعتبارنامه‌های API، قطعه‌های پیکربندی و کد اختصاصی را به عنوان بخشی از گردش کار خود به Claude منتقل می‌کنند. مهاجمی که می‌تواند آن دایرکتوری را تخلیه کند، نه تنها خود فایل‌ها، بلکه یک پنجره به کل محیط کاری توسعه‌دهنده – ساختار پروژه، اسرار، یکپارچه‌سازی‌ها و موارد دیگر – به دست می‌آورد.

توسعه‌دهندگان چه باید بکنند

مراحل فوری ساده اما بیان واضح آن‌ها ارزشمند است. بسته‌های npm نصب‌شده را برای هر چیزی ناآشنا بازرسی کنید، به ویژه بسته‌هایی که اخیراً نصب شده‌اند و ادعای توابع کاربردی، فرمت‌کننده‌ها یا ابزارهای همگام‌سازی دارند. محیط خود را برای توکن‌های گیت‌هاب غیرمنتظره یا فعالیت شبکه غیرعادی در حین نصب بسته بررسی کنید. اگر از Claude Code در یک پروژه استفاده می‌کنید، /mnt/user-data و دایرکتوری‌های معادل را به عنوان حساس در نظر بگیرید و از گذاشتن اعتبارنامه‌ها یا اسرار در آنجا خودداری کنید.

به طور گسترده‌تر، درس این کارزار این است که همان شیوه‌های بهداشتی که برای هر وابستگی نرم‌افزاری اعمال می‌شود، به همان اندازه برای بسته‌های پشتیبانی‌کننده زنجیره ابزار هوش مصنوعی شما نیز معتبر است. این واقعیت که یک بسته برای پشتیبانی از یک جریان کار هوش مصنوعی نصب شده است، آن را قابل اعتمادتر نمی‌کند – ممکن است آن را خطرناک‌تر کند، زیرا این جریان‌های کاری معمولاً به زمینه‌های حساس‌تری نسبت به یک وابستگی معمولی دسترسی دارند.

ابزارهای امنیتی که بسته‌های npm را قبل از نصب اسکن می‌کنند و بسته‌های تازه ثبت‌شده با تعداد دانلود پایین را علامت‌گذاری می‌کنند، می‌توانند بسیاری از این حملات را قبل از اجرا شناسایی کنند. بسته mouse5212-super-formatter، در نگاه به عقب، به راحتی قابل علامت‌گذاری بود: یک حساب تازه‌ثبت‌شده، یک نام به طور مشکوکی عمومی، یک اسکریپت postinstall که تماس‌های شبکه خروجی برقرار می‌کند. زیرساخت تشخیص این الگوها وجود دارد. چالش اطمینان از اعمال آن به طور مؤثر به لایه ابزار هوش مصنوعی است، نه فقط به وابستگی‌های تولید.

همانطور که ابزارهای کدنویسی هوش مصنوعی به طور عمیق‌تری در جریان‌های کاری توسعه حرفه‌ای ادغام می‌شوند، انگیزه‌های هدف‌گیری آن‌ها تنها افزایش خواهد یافت. این رویداد یادآوری است که اعتمادی که توسعه‌دهندگان به زنجیره‌های ابزار هوش مصنوعی خود دارند، باید با کنترل‌های امنیتی متناسب مطابقت داشته باشد – نه به صورت پیش‌فرض.

منبع: The Hacker News, SafeDep, Trend Micro Research

supply-chainmalwaredeveloper-securitynpmclaude-aiai-security
اشتراک‌گذاری: