מתקפת supply-chain על משתמשי Claude: חבילת npm זדונית בשם mouse5212-super-formatter

חוקרי cybersecurity חשפו ב-30 במאי חבילת npm זדונית בשם 'mouse5212-super-formatter', שהתחזתה לכלי archive אבל למעשה גנבה קבצים מתיקיית המשתמש של Anthropic Claude AI לתוך repository של GitHub בשליטת תוקף, במהלך postinstall lifecycle hook. החבילה כיוונה ספציפית ל-workspaces של Claude Code — אבולוציה בולטת בתקיפות supply-chain, שעוקבות כעת אחרי כלי המפתחים שמפתחים באמת משתמשים בהם.

מכנית, ה-exploit רץ במהלך npm install (ללא פעולה מפורשת של המשתמש מעבר ל-install עצמו), מנה את תיקיות הקונפיגורציה וה-workspace של Claude, ודחף את התוכן ליעד GitHub שהתוקף שלט בו. מכיוון ש-workspaces של Claude Code מחזיקים תכופות source של פרויקטים, קבצי environment והיסטוריית שיחות, משטח החשיפה משמעותי — פוטנציאלית כולל מפתחות API, נתוני לקוחות בתוך prompts, וקוד קנייני.

הקשר: זו הדוגמה הממוקדת ביותר לאחרונה לכך ש-workflows של AI dev הופכים ליעד מוגדר עבור תוקפי supply-chain. היא מגיעה באותו שבוע ש-Anthropic חשפה תיקון של 2,100 פגיעויות באמצעות כלי cybersecurity AI פנימי, ובאותו שבוע ש-OpenAI פרסמה הנחיות governance ל-cybersecurity — מה שמדגיש את הפער בין גישה מבוססת-מדיניות (OpenAI) לגישה מבוססת-כלים (Anthropic). מאמר נפרד של מעשי שבחן הגנות prompt-injection של OWASP LLM01 דיווח שארבע מתוך חמש ההגנות המובילות נכשלו בתנאי 2026, ומחזק שאבטחת מערכות AI מתדרדרת ככל שתוקפים מתאיירים מהר יותר מההגנות.

עבור משתמשי Claude Code, היגיינה מיידית: לבדוק התקנות npm אחרונות, לסובב כל מפתח API שעשוי היה להיות ב-workspace, ולנעול תלויות. מה לעקוב הלאה: האם מדיניות registry של npm תסתגל (postinstall hooks נשארים נקודת חולשה אבטחתית כרונית), והאם Anthropic תשלח isolation של workspace בתוך המוצר עצמו לאור עד כמה תיקיית הקונפיגורציה של Claude הפכה ליעד אטרקטיבי.