夜雨聆风
本周,数万人迫不及待地下载了泄露的 Claude Code 源代码,其中一些下载还附带了窃取凭证的恶意软件。
idbzoomh 发布了一个恶意 GitHub 存储库,利用Claude Code 的曝光作为诱饵,诱骗人们下载恶意软件,其中包括Vidar(一种窃取账户凭证、信用卡数据和浏览器历史记录的信息窃取程序)和GhostSocks(一种用于代理网络流量的程序)。
Zscaler 的 ThreatLabz 研究人员在监控 GitHub 上的威胁时发现了该代码库,并表示它伪装成 Anthropic 的 Claude Code CLI 的泄露的 TypeScript 源代码。
安全侦探们在周四的博客中表示: “README 文件甚至声称,该代码是通过 npm 包中的 .map 文件泄露的,然后被重新构建成一个可运行的分支,具有‘解锁’的企业功能和无消息限制。”
该存储库发布部分中的恶意 .7z 归档文件名为 Claude Code - Leaked Source Code,其中包含一个名为 ClaudeCode_x64.exe 的基于 Rust 的投放器。
一旦执行,该恶意软件就会将 Vidar v18.7 和 GhostSocks 植入用户的计算机,然后 Vidar 窃取程序开始收集敏感数据,而 GhostSocks 则将受感染的设备变成代理基础设施,犯罪分子可以利用这些基础设施来掩盖其真实的在线位置,并通过受感染的计算机进行其他活动。
今年 3 月,安全公司 Huntress 曾警告称,有人利用 OpenClaw(一个本身就存在风险的 AI 代理平台)作为 GitHub 的诱饵,传播了类似的恶意软件攻击,目的是传播相同的两个有效载荷。
这两个案例都表明,犯罪分子会迅速抓住热门新产品或新闻事件(例如 OpenClaw 和 Claude Code 泄露事件),并利用它们进行网络诈骗和牟利。“这种快速的行动增加了机会主义攻击的风险,尤其是通过植入木马的存储库,”Zscaler 团队写道。
该博客还包含一份入侵指标列表,其中包括泄露的特洛伊木马化 Claude Code 的 GitHub 代码库和恶意软件哈希值,以帮助防御者进行威胁狩猎,因此请务必查看——并且,一如既往,请谨慎下载。
theregister.com
