Az újabb átverés: kártékony kód érkezik Claude Code helyett

Több tízezer felhasználó sietett letölteni a kiszivárgott Claude Code forráskódot, azonban sokakat kellemetlen meglepetés ért: a várt fejlesztőeszköz helyett zárolást és adatlopási kísérleteket rejtő kártékony szoftvert húztak le a gépükre. Egy hamis GitHub-tárolót idbzoomh nevű szerző üzemeltetett, ahol a népszerű MI-eszköz állítólagos forrása helyett valójában a Vidar adatlopó és a GhostSocks nevű szoftvereket terjesztették.

Látszólag Claude Code, valójában lopott adatok

A Zscaler biztonsági kutatói bukkantak rá a megtévesztő tárolóra, amely álságos TypeScript forráskódot kínált az Anthropic Claude Code CLI-hez. Az oldalon feltüntetett README szerint a forráskódot egy .map fájlból szerezték, majd „kibővített vállalati” változatban tették közzé – mindenféle üzenetküldési korlát nélkül. Bár a Google-keresőben már nem előkelő helyen szerepel, két hamis verzió a cikk megjelenésekor még elérhető volt, 793 klónt és 564 csillagot bezsebelve.

Kártékony letöltés és a támadók új trükkjei

A “Claude Code – Leaked Source Code” nevű, .7z kiterjesztésű archívumban valójában egy Rust-alapú kártevőterjesztő (dropper), a ClaudeCode_x64.exe található, amely futtatás után a Vidar 18.7 adatlopó vírust és a GhostSocks proxyszoftvert telepíti. Ezek ellopják a belépési adatokat, a böngészési előzményeket és a bankkártyaadatokat, illetve a gépet bűnözők által vezérelt internetes forgalom továbbítására használják. Ugyanígy, nemrég az OpenClaw nevű MI-ügynökplatformot is célba vették a támadók hasonló módszerrel.

A fentiek tükrében

A kiberbűnözők azonnal lecsapnak a népszerű újdonságokra, ami növeli a trójai tárolók okozta veszélyt. A Zscaler blogjában megtalálhatók azok a kódok és tárolók, amelyek alapján az esetleges kompromittálódás azonosítható – érdemes körültekintően eljárni, és csak megbízható forrásból letölteni szoftvert.

2026, adrienne, go.theregister.com alapján