C’è qualcosa di quasi paradossale nella vicenda che i ricercatori di OX Security hanno portato alla luce nelle ultime ore, quando un pacchetto malevolo pubblicato sul registro npm, progettato per sottrarre file generati da Claude, si è tradito da solo esponendo il token privato GitHub del suo stesso autore. Un errore grossolano che racconta molto sullo stato attuale della cybercriminalità nell’era degli strumenti di intelligenza artificiale generativa.

Il pacchetto in questione si chiama mouse5212-super-formatter ed è ancora disponibile per il download al momento della pubblicazione, con circa 676 download registrati. Quanti di questi corrispondano a installazioni reali è difficile stabilirlo, ma la presenza attiva sul repository npm è già di per sé un problema. L’obiettivo di questo pacchetto, almeno nella facciata che presenta all’utente inconsapevole, è quello di una utility di sincronizzazione archivi, un genere di strumento talmente comune nell’ecosistema JavaScript da non destare sospetti a prima vista.

Sotto la superficie, però, il comportamento è tutt’altro che innocuo. Durante la fase di post installazione, il pacchetto si autentica a GitHub utilizzando un token trovato nell’ambiente della vittima oppure, in mancanza di questo, ricorrendo a un token hard-coded come fallback. A quel punto verifica l’esistenza di un repository di destinazione, lo crea se assente e procede a caricare ricorsivamente l’intero contenuto della directory /mnt/user-data (quella che Claude utilizza per gestire upload e output in background) verso un account GitHub controllato dall’attaccante.

image-191-1024x722

I file vengono quindi organizzati in cartelle con nomi generati casualmente, così da permettere all’operatore di distinguere le diverse sessioni di furto. Per depistare ulteriormente, il malware genera anche un finto log di connessioni di rete, simulando un comportamento diagnostico legittimo.

OX Security ha battezzato questa campagna con il nome “Malware-Slop”, un termine che cattura perfettamente la natura sciatta e affrettata dell’operazione. L’account GitHub collegato all’attività, creato il 26 maggio 2026 poche ore prima del caricamento della prima versione malevola su npm, è già stato rimosso. Ma il dettaglio più rivelatore rimane l’esposizione del token privato dell’attaccante all’interno del codice stesso; un errore di operational security basilare che suggerisce fortemente l’uso di strumenti AI per generare il malware senza una revisione critica del codice prodotto.

È proprio questo il punto che OX Security sottolinea con maggiore preoccupazione. La soglia tecnica per creare codice malevolo funzionante si è abbassata drasticamente e il risultato, più che una nuova generazione di threat actor sofisticati, è una proliferazione di malware frettolosi, mal costruiti e spesso imitativi di gruppi APT consolidati, che saturano i repository npm pubblici sperando di sfuggire ai controlli automatici prima che questi diventino abbastanza robusti da bloccarli sistematicamente.

(Immagine in apertura: Shutterstock)