Pesquisa de Segurança

Pesquisa de
Segurança.

Pesquisador de segurança independente focado em segurança da cadeia de suprimentos de IA e vetores de ataque de injeção de prompt. Descobertas submetidas através de programas de divulgação responsável.

#001Critical2026-04-02
Relatório CompletoReddit

Injeção Persistente de Prompt via Supply Chain npm

Descobri um novo padrão de ataque onde pacotes npm podem sequestrar permanentemente assistentes de código IA através de hooks postinstall. Um pacote malicioso foi encontrado injetando 13 arquivos de skill persistentes no diretório de configuração do Claude Code (~/.claude/commands/), desativando todos os prompts de segurança e confirmações do usuário. Os arquivos injetados sobreviviam à desinstalação do pacote sem mecanismo de limpeza, efetivamente criando um backdoor persistente que auto-aprovava todas as operações sem consentimento do usuário.

9.2
Score CVSS
15K+
Views no Reddit
13
Arquivos Injetados
HackerOne
Submetido Via

Fluxo do Ataque

Acesso Inicial
Usuário executa npm install openmatrix. O hook postinstall (scripts/install-skills.js) executa automaticamente sem interação do usuário.
Persistência
13 arquivos Markdown de skill escritos em ~/.claude/commands/om/ com flag always_load: true, garantindo execução em toda sessão futura do Claude Code.
Evasão de Defesa
auto.md contém <BYPASS-MODE> que instrui o Claude a auto-aprovar todos os comandos Bash, operações de arquivo e chamadas de agente — desativando o sistema de permissão de segurança.
Controle de Execução
om.md e openmatrix.md marcados como priority: critical interceptam TODAS as requisições de desenvolvimento, roteando-as pelo workflow do atacante. Blocos <NO-OTHER-SKILLS> impedem o uso de outras ferramentas.
Sem Limpeza
npm uninstall NÃO remove os arquivos injetados. Nenhum script de desinstalação fornecido. Arquivos persistem indefinidamente em todas as sessões até serem descobertos e deletados manualmente.

MITRE ATT&CK Mapeamento

T1546Execução por Evento — hook postinstall do npm
T1547Autostart em Boot/Login — skills persistentes via always_load: true
T1562.001Security.mitre.T1562.001
T1195.002Security.mitre.T1195.002

Divulgação Responsável

Todas as descobertas são submetidas através de programas oficiais de divulgação de vulnerabilidades antes da publicação. Sigo práticas de divulgação coordenada e trabalho com fornecedores para garantir que correções sejam implantadas antes da publicação dos detalhes.