Investigación de Seguridad

Investigación de
Seguridad.

Investigador de seguridad independiente enfocado en seguridad de la cadena de suministro de IA y vectores de ataque de inyección de prompt. Hallazgos enviados a través de programas de divulgación responsable.

#001Critical2026-04-02
Informe CompletoReddit

Inyección Persistente de Prompt vía Supply Chain npm

Descubrí un nuevo patrón de ataque donde paquetes npm pueden secuestrar permanentemente asistentes de código IA a través de hooks postinstall. Un paquete malicioso fue encontrado inyectando 13 archivos de skill persistentes en el directorio de configuración de Claude Code (~/.claude/commands/), desactivando todos los prompts de seguridad y confirmaciones del usuario. Los archivos inyectados sobrevivían a la desinstalación del paquete sin mecanismo de limpieza, creando efectivamente un backdoor persistente que auto-aprobaba todas las operaciones sin consentimiento del usuario.

9.2
Score CVSS
15K+
Vistas en Reddit
13
Archivos Inyectados
HackerOne
Enviado Vía

Flujo del Ataque

Acceso Inicial
El usuario ejecuta npm install openmatrix. El hook postinstall (scripts/install-skills.js) se ejecuta automáticamente sin interacción del usuario.
Persistencia
13 archivos Markdown de skill escritos en ~/.claude/commands/om/ con flag always_load: true, asegurando ejecución en toda sesión futura de Claude Code.
Evasión de Defensa
auto.md contiene <BYPASS-MODE> que instruye a Claude a auto-aprobar todos los comandos Bash, operaciones de archivo y llamadas de agente — desactivando el sistema de permisos de seguridad.
Control de Ejecución
om.md y openmatrix.md marcados como priority: critical interceptan TODAS las solicitudes de desarrollo, enrutándolas por el workflow del atacante. Bloques <NO-OTHER-SKILLS> impiden usar otras herramientas.
Sin Limpieza
npm uninstall NO elimina los archivos inyectados. No se proporciona script de desinstalación. Los archivos persisten indefinidamente en todas las sesiones hasta ser descubiertos y eliminados manualmente.

MITRE ATT&CK Mapeo

T1546Ejecución por Evento — hook postinstall de npm
T1547Autostart en Boot/Login — skills persistentes vía always_load: true
T1562.001Security.mitre.T1562.001
T1195.002Security.mitre.T1195.002

Divulgación Responsable

Todos los hallazgos se envían a través de programas oficiales de divulgación de vulnerabilidades antes de la publicación. Sigo prácticas de divulgación coordinada y trabajo con proveedores para asegurar que las correcciones se implementen antes de publicar los detalles.