NERDMANMalware-Coder leakt eigenen GitHub-Token
Ein npm-Pakete-Angreifer wollte Claude-Nutzer ausnehmen — und blamierte sich selbst maximal. Sein KI-generierter Stealer leakte den eigenen GitHub-Token mit ins Netz.
Was konkret passiert ist
Das Paket "mouse5212-super-formatter" tarnte sich als harmloses Formatter-Tool. In Wahrheit zog es Secrets von Claude-Nutzern ab. Bevor es aus der npm-Registry flog, schaffte es 676 Downloads.
Die Zahlen zum Fall
- 676** — Downloads vor dem Takedown
- 1** — geleakter GitHub Private Token (der eigene)
- 100%** — KI-generierter Slop-Code im Stealer
- 0** — operative Sicherheit beim Angreifer
Wie der Trottel sich selbst entlarvte
Der Malware-Dev ließ sich seinen Stealer offenbar von einer KI zusammenklicken. Im Code: sein eigener GitHub Private Token, frei zugänglich. OX Security griff zu, zog die gestohlenen Files und analysierte den kompletten Angriff von innen.
Wir werden mehr Threat Actors sehen — die laden sloppy Malware hoch, meist mit APT-Imitationen.— OX Security Researcher
Pro (für die Verteidiger)
- Angreifer-Identität durch Eigentor offengelegt
- Komplette Malware-Analyse möglich
- Gestohlene Daten rückverfolgbar
Con (für alle anderen)
- Vibe-Coded Malware senkt die Einstiegshürde brutal
- Npm-Supply-Chain bleibt Schweizer Käse
- Nächste Welle kommt garantiert
💡 Was das bedeutet
KI demokratisiert auch Cybercrime. Jeder Skript-Kiddie kann sich jetzt Stealer-Code generieren lassen — Qualität egal, Masse zählt. Wer npm-Pakete blind installiert, ist selber schuld.
