Az Anthropic MI-kódja nyomán tarol a Vidar vírus a GitHubon

Az Anthropic fejlesztésű Claude Code, egy terminálalapú MI-ügynök forráskódja március végén nem várt módon kiszivárgott, mivel egy 59,8 MB-os JavaScript forrástérkép véletlenül nyilvánossá vált az npm-csomagban. Így 513 000 sornyi TypeScript-kód, 1 906 fájlban, részletesen feltárta az MI-ügynök belső működését, jogosultsági rendszerét és rejtett funkcióit. A forráskód pillanatok alatt elterjedt a GitHubon, ahol több ezren letöltötték vagy forkolták az anyagot.

Kártékony kód árasztotta el a GitHubot

A jelenséget gyorsan kihasználták a számítógépes bűnözők, építve a kiszivárgott forráskód iránti nagy érdeklődésre. Egyes rosszindulatú felhasználók – különösen az idbzoomh néven tevékenykedő – ál-GitHub-tárhelyeket hoztak létre, ahol állítólagos szivárgást hirdetnek „extrákkal” és korlátozásmentes hozzáféréssel. Az oldalakat keresőoptimalizálták, hogy a Google-találatok élére kerüljenek, így a gyanútlan felhasználók könnyebben beléjük futhatnak.

Vidar adatlopó és további veszélyek

A csaló repók egy .7z archívumot kínálnak letöltésre, amely valójában egy Rust-alapú, ClaudeCode_x64.exe névre keresztelt droppert tartalmaz. Ezt elindítva a Vidar nevű adatlopó (infostealer) vírust juttatja a gépre, kiegészítve a GhostSocks nevű, hálózati forgalmat továbbító eszközzel. Hasonlóképp a fertőző archívumok tartalma folyamatosan frissül, így a jövőben új fenyegetések is bekerülhetnek.

Visszatérő taktikák a kiberbűnözésben

Egy másik GitHub-repó is előfordult azonos káros tartalommal, de az ottani ZIP-letöltés gombja elemzéskor nem működött – valószínűleg a csalók új módszerekkel kísérleteznek. Annak ellenére, hogy a platform védekezik, a támadók gyakran használják a GitHubot álcázott káros fájlok, például ismert PoC-exploitek terjesztésére, különösen a kezdők átverésére. Az ilyesféle támadások jellemzően kiaknázzák a nagy port kavart incidensek körüli figyelmet, hogy minél több áldozatot ejtsenek.

2026, adrienne, www.bleepingcomputer.com alapján