npm 供应链攻击新手法：虚假 Claude Code 软件包正在窃取用户文件

原文来源：The Hacker News — 安全研究人员发现，npm 生态系统中出现了针对 Claude AI 用户的恶意软件包。

事件概述

2026 年 5 月下旬，安全研究人员发现了一批针对 Claude AI 用户的恶意 npm 软件包。这些软件包利用与官方 @anthropic/claude-code 包名相似（typosquatting）的手法，诱骗开发者安装。

一旦安装，恶意包会从用户的 Claude AI 配置目录（通常是 ~/.claude/ 或项目中的 CLAUDE.md 文件）读取敏感数据，然后将其外传到攻击者控制的服务器。

这并不是孤立事件。根据 Trend Micro 的研究，自 2025 年末以来，针对 AI 编码工具用户的供应链攻击呈明显上升趋势。攻击者的目标很明确：AI 编码工具往往持有大量有价值的上下文——API 密钥、项目配置、业务逻辑描述——这些数据在黑市上极有价值。

这波攻击的主要技术手段包括：

拼写欺骗（Typosquatting）：恶意包的名称与官方包只差一个字母，例如 @anthropic/cliude-code 或 claude-code（缺少 @anthropic 命名空间）。开发者快速输入时极容易出错。
利用 GitHub Release 作为分发渠道：一些攻击者创建了假冒的 Claude Code GitHub 仓库，将恶意代码伪装成 Release 压缩包。用户通过 go install、npm install 或直接下载 Release 时被感染。
多阶段负载：初始脚本只是"侦察"——收集环境信息。只有在确认目标有价值后，才会下载真正的恶意负载。这使得静态分析更难检测。
数据外传：收集到的数据（包括 CLAUDE.md 中的 API 密钥、项目配置、环境变量）被编码后通过 DNS 查询或 HTTPS POST 发送到攻击者服务器。

安全社区对此的分析是：AI 编码工具是供应链攻击的"超级放大器"。

传统供应链攻击的目标通常是获取服务器访问权限或植入勒索软件。但 AI 编码工具有几个独特的特点：

大量上下文信息：Claude Code 和 Codex 需要读取项目文件、环境变量、API 密钥才能有效工作。这意味着工具持有了大量敏感数据。
写入能力：这些工具不仅能读，还能写文件。恶意包如果劫持了 AI 编码工具，可以无声无息地在项目中插入后门代码。
信任链更长：一个依赖中包含恶意代码 -> AI 自动使用了这个依赖 -> 生成了带后门的代码 -> 代码通过了本就不存在的代码审查 -> 直接上线。整个链条中没有人看过任何一行代码。

安全社区给出了以下建议：

精确锁定包版本：不要使用范围版本或 latest 标签。在 package.json 或 requirements.txt 中锁定精确版本号。
使用源完整性检查：尽可能使用 npm 的 integrity 校验或 GitHub Release 的 SHA 校验。
审查 CLAUDE.md 内容：不要在 CLAUDE.md 或其他 AI 配置文件中存储私密信息。使用环境变量或密钥管理服务。
私有注册表代理：企业应当搭建私有的 npm/package 代理（如 Verdaccio 或 Artifactory），对通过代理的每个包进行扫描。
教育团队：让开发人员意识到拼写欺骗攻击的风险，养成安装包前仔细核对名称的习惯。

这起事件是 2026 年 AI 与供应链安全交叉领域的又一个警示。随着 AI 编码工具从"新奇玩意"变成"日常必备"，攻击者必然会投入更多资源来劫持这个渠道。

好消息是，这类攻击的基本防御手段并不复杂——放慢速度，仔细检查，锁定版本。 在 AI 把代码生产加速到极致的时候，人类的安全检查反而需要更严格，而不是更宽松。