28 de mayo de 2026

Nuevo paquete malicioso en npm roba archivos de usuarios de Claude AI

Nuevo paquete malicioso en npm roba archivos de usuarios de Claude AI

Recientemente, investigadores de ciberseguridad han descubierto un nuevo paquete malicioso en el registro npm (un repositorio de software que permite a los desarrolladores compartir código) que tiene la capacidad de robar archivos. Este paquete, llamado "mouse5212-super-formatter", está diseñado para subir archivos desde un directorio específico de la herramienta de inteligencia artificial Claude, creada por Anthropic. La importancia de este hallazgo radica en los riesgos que representa para los usuarios que confían en este tipo de herramientas.

Cómo funciona el ataque

El malware se presenta como una utilidad interna para "sincronizar despliegues de archivos", pero en realidad realiza actividades maliciosas. Se autentica en GitHub (una plataforma para alojar y colaborar en proyectos de software) durante la etapa de instalación, usando un token de acceso que puede encontrarse en el entorno del usuario o un token preprogramado. Luego, verifica si existe un repositorio objetivo y, si no es así, lo crea, para finalmente subir todos los archivos a una cuenta de GitHub controlada por los atacantes.

  • El malware oculta su actividad creando un registro falso de "conexiones de red".
  • Los archivos robados se almacenan en carpetas con nombres aleatorios para diferenciar entre distintas sesiones de robo.
  • A pesar de que el paquete ha sido descargado 676 veces, no se sabe cuántas de estas corresponden a instalaciones reales.

A quién afecta

Este ataque afecta principalmente a los usuarios de Claude AI y a aquellos que utilizan el registro de npm para instalar paquetes de software. La naturaleza del malware sugiere que cualquier persona que haya descargado este paquete podría estar en riesgo de perder información sensible.

Qué significa esto para ti

Para los usuarios y empresas, este incidente subraya la importancia de ser cautelosos al descargar software de repositorios públicos. Es fundamental revisar las fuentes y la reputación de los paquetes antes de instalarlos, y considerar el uso de medidas de seguridad adicionales, como autenticación de dos factores y monitoreo de actividad sospechosa en cuentas de GitHub o similares.

Fuente: https://thehackernews.com/2026/05/malicious-npm-package-stole-files-from.html
← Anterior Campañas de malware Grandoreiro y BTMOB ...
Escrito por:
Luis Carreón
📰 Otras noticias del día
JINX-0164: Malware en reclutamiento apunta a empresas de criptomonedas
Campañas de malware Grandoreiro y BTMOB atacan usuarios en Windows y Android
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio