详细内容或原文请订阅后点击阅览
他们认为他们正在下载 Claude Code 源代码。相反,他们收到了大量恶意软件
带有 Vidar 窃取程序和 GhostSocks 一面的源代码 本周,成千上万的人急切地下载了泄露的 Claude Code 源代码,其中一些下载带有窃取凭据的恶意软件。
来源:The Register _恶意软件本周,数万人急切地下载了泄露的 Claude Code 源代码,其中一些下载带有窃取凭据的恶意软件。
idbzoomh 发布的恶意 GitHub 存储库利用 Claude 代码曝光作为诱饵,诱骗人们下载恶意软件,其中包括 Vidar,一种可以窃取帐户凭据、信用卡数据和浏览器历史记录的信息窃取程序; GhostSocks,用于代理网络流量。
Zscaler 的 ThreatLabz 研究人员在监控 GitHub 的威胁时发现了该存储库,并表示它被伪装成 Anthropic 的 Claude Code CLI 的泄露 TypeScript 源代码。
“自述文件甚至声称代码是通过 npm 包中的 .map 文件公开的,然后重新构建为具有‘解锁’企业功能且没有消息限制的工作分支,”安全侦探在周四的博客中表示。
他们补充说,GitHub 存储库链接出现在 Google 搜索结果的顶部附近,例如“泄露的克劳德代码”。虽然在 The Register 发布时情况已不再是这样,但至少有两个开发者的木马化 Claude Code 源代码泄漏存储库仍保留在 GitHub 上,其中一个拥有 793 个分叉和 564 个星标。
存储库发布部分中的恶意 .7z 存档名为 Claude Code - Leaked Source Code,它包含一个名为 ClaudeCode_x64.exe 的基于 Rust 的 dropper。
执行后,恶意软件会将 Vidar v18.7 和 GhostSocks 投放到用户的计算机上,然后 Vidar 窃取者开始收集敏感数据,同时 GhostSocks 将受感染的设备转变为代理基础设施,犯罪分子可以利用该基础设施来掩盖其真实的在线位置,并通过受感染的计算机执行其他活动。
今年 3 月,安全商店 Huntress 警告称,类似的恶意软件活动使用 OpenClaw(已经存在风险的 AI 代理平台)作为 GitHub 诱饵来传递相同的两个有效负载。