本周,數萬人急切地下載了據稱泄露的Claude Code源代碼,但其中一些下載實際上包含了竊取憑證的惡意軟體。
一個由用戶idbzoomh發布的惡意GitHub倉庫利用Claude Code泄露事件作為誘餌,誘騙用戶下載惡意軟體,包括用於竊取賬戶憑證、信用卡數據和瀏覽器歷史記錄的資訊竊取工具Vidar,以及用於代理網路流量的GhostSocks。
Zscaler的ThreatLabz研究人員在監控GitHub威脅時發現了這個倉庫,稱其偽裝成Anthropic公司Claude Code命令行界面的泄露TypeScript源代碼。
安全研究人員在周四的部落格中表示:"README文件甚至聲稱代碼是通過npm包中的.map文件泄露的,然後重建為一個具有'解鎖'企業功能且無消息限制的可運行分支。"
他們補充說,這個GitHub倉庫鏈接在Google搜索"泄露的Claude Code"等關鍵詞時出現在搜索結果的頂部位置。雖然在本文發布時情況已有所改變,但至少還有兩個該開發者的惡意Claude Code源碼泄露倉庫仍存在於GitHub上,其中一個擁有793個分支和564個星標。
倉庫發布部分中的惡意.7z壓縮包名為"Claude Code - 泄露源代碼",其中包含一個名為ClaudeCode_x64.exe的基於Rust的投遞器。
一旦執行,惡意軟體會在用戶機器上釋放Vidar v18.7和GhostSocks,然後Vidar竊取器開始收集敏感數據,而GhostSocks則將受感染設備轉變為代理基礎設施,犯罪分子可以利用它來掩蓋真實的在線位置,並通過被攻陷的電腦進行其他活動。
今年3月,安全公司Huntress曾警告過類似的惡意軟體活動,當時使用已經存在風險的AI智能體平台OpenClaw作為GitHub誘餌來投遞相同的兩個惡意載荷。
這兩起事件都說明了犯罪分子如何快速利用熱門新產品或新聞事件(如OpenClaw和Claude Code泄露)進行在線詐騙和非法牟利。Zscaler團隊寫道:"這種快速行動增加了機會性攻擊的可能性,特別是通過惡意倉庫進行的攻擊。"
該部落格還包含一份威脅指標清單,包括含有惡意Claude Code泄露的GitHub倉庫和惡意軟體哈希值,以幫助防護人員進行威脅狩獵工作。因此務必查看相關資訊,並且一如既往地謹慎對待下載的內容。
Q&A
Q1:什麼是Vidar惡意軟體?它有什麼危害?
A:Vidar是一種資訊竊取工具,專門用於竊取賬戶憑證、信用卡數據和瀏覽器歷史記錄等敏感資訊。在這次攻擊中,犯罪分子使用的是Vidar v18.7版本,一旦用戶執行了偽裝的Claude Code源碼文件,該惡意軟體就會開始收集用戶的敏感數據。
Q2:GhostSocks惡意軟體是如何工作的?
A:GhostSocks是一種代理惡意軟體,它會將受感染的設備轉變為代理基礎設施。犯罪分子可以利用這些被攻陷的電腦來掩蓋自己的真實在線位置,並通過這些受感染的設備進行其他惡意活動,從而逃避追蹤和檢測。
Q3:如何避免下載到偽裝的Claude Code惡意軟體?
A:用戶應該謹慎對待從GitHub等平台下載的"泄露"源代碼,特別是那些聲稱具有"解鎖企業功能"或"無限制"特性的版本。建議只從官方渠道下載軟體,仔細檢查倉庫的可信度,並使用安全軟體掃描下載的文件。
