Исходный код с дополнением в виде стилера Vidar и GhostSocks. — theregister.com
На этой неделе десятки тысяч людей с нетерпением скачивали утечку исходного кода Claude Code, и некоторые из этих загрузок сопровождались вредоносным ПО для кражи учетных данных.
Вредоносный репозиторий на GitHub, опубликованный пользователем idbzoomh, использует утечку кода Claude Code в качестве приманки, чтобы обманом заставить людей загружать вредоносное ПО, включая Vidar — инфостилер, который похищает учетные данные аккаунтов, данные кредитных карт и историю браузера; и GhostSocks, используемый для проксирования сетевого трафика.
Исследователи Zscaler ThreatLabz обнаружили этот репозиторий, отслеживая угрозы на GitHub, и сообщили, что он замаскирован под утечку исходного кода на TypeScript для CLI Claude Code от Anthropic.
“В файле README даже утверждается, что код был скомпрометирован через .map файл в пакете npm, а затем пересобран в рабочую форку с «разблокированными» корпоративными функциями и без ограничений на сообщения”, — сообщили аналитики безопасности в четверг в своем блоге.
Они добавили, что ссылка на репозиторий GitHub появлялась в верхней части результатов Google по таким запросам, как “leaked Claude Code”. Хотя на момент публикации The Register ситуация изменилась, по крайней мере два репозитория с троянизированной утечкой исходного кода Claude Code от этого разработчика остались на GitHub, и один из них имел 793 форка и 564 звезды.
Вредоносный архив .7z в разделе релизов репозитория называется Claude Code – Leaked Source Code и включает дроппер на Rust с именем ClaudeCode_x64.exe.
После запуска вредоносное ПО загружает Vidar v18.7 и GhostSocks на машины пользователей, после чего стилер Vidar начинает сбор конфиденциальных данных, а GhostSocks превращает зараженные устройства в прокси-инфраструктуру, которую злоумышленники могут использовать для сокрытия своего реального местоположения в сети и проведения дополнительной активности через скомпрометированные компьютеры.
В марте компания Huntress предупреждала о похожей вредоносной кампании, использующей OpenClaw, уже рискованную платформу ИИ-агентов, в качестве приманки на GitHub для доставки тех же двух полезных нагрузок.
Оба случая демонстрируют, как быстро злоумышленники используют нашумевший новый продукт или новостное событие (например, OpenClaw и утечку Claude Code) для мошенничества и получения финансовой выгоды. “Такая быстрая реакция увеличивает вероятность оппортунистического компрометации, особенно через троянизированные репозитории”, — написала команда Zscaler.
В блоге также приведен список индикаторов компрометации, включая репозитории GitHub с троянизированной утечкой Claude Code и хеши вредоносного ПО, чтобы помочь защитникам в их усилиях по поиску угроз, так что обязательно ознакомьтесь с ним — и, как всегда, будьте осторожны с тем, что скачиваете. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons