Ove nedelje, veliki broj korisnika je preuzeo navodno provaljeni izvorni kod Claude Code-a, ali su mnogi od njih naišli na neugodnu iznenađenje u obliku malware-a.
Naime, zlonamerni GitHub repozitorijum objavljen od strane korisnika idbzoomh koristi provale Claude Code-a kao mamac za preuzimanje malware-a, uključujući Vidar, koji krade naloge, podatke o kreditnim karticama i istoriju pretrage, kao i GhostSocks, koji služi kao posrednik za mrežni saobraćaj.
Istraživači iz Zscaler-ovog ThreatLabz-a otkrili su ovaj repozitorijum dok su pratili pretnje na GitHub-u, gde je obmanjujuće maskiran kao provaljeni izvorni kod za Anthropic-ov Claude Code CLI.
U README datoteci se čak tvrdi da je kod otkriven putem .map datoteke u npm paketu, a zatim obnovljen kao radna verzija sa ‘otključanim’ funkcijama i bez ograničenja poruka.
Ovaj GitHub repozitorijum se pojavio među prvim rezultatima pretrage na Google-u za termine poput „provaljen Claude Code“. Iako je situacija sada drugačija, još uvek postoje dva repozitorijuma sa trojancima koji su provaljeni, a jedan od njih ima 793 fork-ova i 564 zvezde.
- Anthropic otkriva Claude Code izvorni kod greškom
- Provala Claude Code-a otkriva koliko informacija Anthropic može prikupiti o vama i vašem sistemu
- Malware kroz lažne OpenClaw instalatore dobija podršku Bing AI pretrage
Zlonamerna .7z arhiva u odeljku izdanja repozitorijuma nazvana je Claude Code – Provaljeni izvorni kod, a uključuje Rust-bazirani dropper pod imenom ClaudeCode_x64.exe.
Nakon izvršavanja, malware instalira Vidar v18.7 i GhostSocks na korisničke mašine, a zatim Vidar počinje da prikuplja osetljive podatke dok GhostSocks pretvara zaražene uređaje u posredničku infrastrukturu koju kriminalci mogu koristiti da prikriju svoju pravu lokaciju na mreži i izvrše dodatne aktivnosti putem kompromitovanih računara.
U martu, sigurnosna firma Huntress upozorila je na sličnu kampanju malware-a koristeći OpenClaw, koja je takođe iskorišćena kao mamac za preuzimanje istih dva paketa.
Ovi slučajevi prikazuju koliko brzo kriminalci reaguju na nove proizvode ili vesti (poput OpenClaw-a i provale Claude Code-a) i zloupotrebljavaju ih za online prevare i finansijsku dobit. Tim iz Zscalera ističe da takva brza reakcija povećava šanse za oportunistički kompromis, posebno kroz trojanske repozitorijume.
U blogu su navedeni indikatori kompromitacije, uključujući GitHub repozitorijume sa trojancima i hash-ove malware-a, kako bi se pomoglo u naporima otkrivanja pretnji, pa obavezno obratite pažnju na to – i, kao uvek, budite oprezni sa onim što preuzimate.
