悪性npmパッケージがClaudeユーザーを標的に

佐々山 Tacos

2026.05.28

悪性npmパッケージがClaudeユーザーを標的に

The Register – Wed 27 May 2026

Claudeユーザーを狙ってスティーラーを配布しようとする新たな悪性npmパッケージを、Ox Securityの研究者らが発見。AIで生成されたとみられるこのマルウェアは攻撃者自身のGitHubプライベートトークンを漏洩させていたため、研究者らは盗まれたファイルを追跡したり、マルウェアを分析したりすることができたという。

Ox Securityによれば、問題のパッケージは「mouse5212-super-formatter」で、「アーカイブデプロイメント同期」ユーティリティを装っている。しかし実際には、インストールされると被害者環境内で見つかったGitHubアクセストークンまたはハードコードされたトークンを使ってGitHubへの認証を行うと、標的リポジトリが存在するかをチェック。存在しない場合にはこれを作成し、再帰的にローカルディレクトリのすべてのファイルを攻撃者が制御するGitHubアカウントへアップロードする窃取性能を持つとされる。

標的となるディレクトリは、「/mnt/user-data」。これは、アンソロピックのAI「Claude」がファイルのアップロード／ダウンロードおよびコードやデータの出力を処理する際に使用するストレージディレクトリだという。

mouse5212-super-formatterのすべてのバージョンが影響を受けるとされ、OX Securityの記事が執筆された時点でダウンロード数は合計676回だったという。また、攻撃者のGitHubリポジトリがテイクダウンされるまでに7件のアクティブなデータ抽出が観測されたが、その大半は攻撃者自身によるテストであろうとみられている。

今回の悪性パッケージに関して注目に値するのが、プライベートトークンを含む攻撃者自身のGitHubアカウント情報を漏洩させていた点。この基本的なOPSEC上のミスによりマルウェアの追跡が可能となったほか、マルウェアがAIを使って作成されたものである可能性が浮上している。

AIの登場で参入障壁が大きく下がったことから、低品質なマルウェアをアップロードする脅威アクターは今後増えていくだろうとOx Securityは指摘。また、「その多くはAPTグループを模倣」したものになるだろうと予測している。

ChatGPTやClaudeの偽インストーラーがDeno RATマルウェアを配布

Help Net Security – May 27, 2026

バックドア「DinDoor」を配布するGitHubおよびSourceForge上の偽インストーラーやプラグインを、Malwarebytesの研究者らが発見。これらの偽インストーラー／プラグインは、ChatGPTやClaude、AutoTune、Kontakt、Ableton Live、ZENOLOGYなど人気のソフトウェアを装っていたという。

攻撃者らは、侵害された複数のYouTubeチャンネルを使って偽インストーラーのリポジトリへユーザーを誘導。合計視聴回数が50,000回を超えるこれらの動画は、ChatGPTやClaude AIといった人気ソフトウェアを「無料で使う方法」を説明する内容になっているとみられる。

誘導先のリポジトリでは、WindowsおよびmacOS向けのコマンドが共有されており、ユーザーに対してターミナルを開きコマンドをコピー・ペーストするよう指示。これにより、感染の起点となるMSIファイルまたはPowerShellがダウンロードされるという。

スクリプトは、実行されるとWindowsコマンドラインツール「Scoop」およびWindows公式パッケージマネージャー「WinGet」をインストールし、これらを使って正規のDenoランタイムをインストール。Denoはその後、リモートサーバーから直接DinDoorバックドアを取得・実行するために使われる。

その後DinDoorはレジストリのRunキーを通じて永続性を確立し、システム情報をC2サーバーへ報告するほか、さらなるペイロードを取得する役割も担う。Malwarebytesが観測したケースでは、これらのペイロードの1つとしてDenoベースのRAT「Smokest」が展開されていたという。

このRATは任意コマンドやPowerShellスクリプトの実行、スクリーンショットの取得、ファイルの管理、プロセスの起動・終了、SOCKS5プロキシトンネルの開設など、感染したマシンを制御するための幅広い性能を持つ。また、50種以上の暗号資産ウォレット拡張機能および10種のウォレットアプリから情報を抜き取るスティーラーモジュールも備えているという。さらに、密かにMicrosoft Edgeを起動してChrome DevTools Protocolを有事て接続し、WebRTCページを注入することにより、被害者のスクリーンのライブ動画をストリーミングすることも可能だとされる。

攻撃者は、この攻撃で使うGitHubアカウントを複数ローテーションし、各アカウントにつき多数のリポジトリを作成。古いものがテイクダウンされるたびに、ルアーを更新しているという。このため、Malwarebytesから報告を受けたGitHubは悪性リポジトリを削除したものの、新たなリポジトリが今後も登場し続けるだろうと見込まれている。