Утечка кода Claude Code используется для распространения вредоносного ПО через GitHub
Недавняя утечка исходного кода инструмента Claude Code от компании Anthropic привела к неожиданным последствиям в сфере кибербезопасности. Несмотря на то, что сама компания заявила об отсутствии утечки пользовательских данных, злоумышленники быстро воспользовались ситуацией, превратив её в инструмент для распространения вредоносного программного обеспечения.
Что произошло
В конце марта 2026 года Anthropic случайно опубликовала внутренний исходный код своего инструмента Claude Code через npm-пакет. Причиной стала ошибка при сборке, из-за которой в пакет попал файл .map, содержащий полный исходный код проекта. В результате стало возможным восстановить более 500 000 строк кода и около 1900 файлов.
Хотя компания оперативно отреагировала и начала удалять копии с помощью DMCA-запросов, код уже успел широко распространиться на GitHub и других платформах.
Как утечку используют злоумышленники
Практически сразу после публикации исходного кода злоумышленники начали создавать поддельные репозитории на GitHub, маскируя их под «утекшую» версию Claude Code. Эти репозитории активно продвигались через поисковые системы и социальные сети, чтобы привлечь как можно больше пользователей.
Основная цель таких репозиториев — заставить пользователей скачать архив с вредоносным содержимым. В частности, обнаружены архивы, содержащие исполняемый файл ClaudeCode_x64.exe, который на самом деле является загрузчиком вредоносного ПО.
Какие угрозы распространяются
При запуске вредоносного файла на устройство жертвы устанавливаются:
- Vidar — инфостилер, предназначенный для кражи паролей, cookies, криптокошельков и других конфиденциальных данных;
- GhostSocks — инструмент проксирования, позволяющий злоумышленникам использовать заражённое устройство как промежуточный узел для сетевой активности.
Такая комбинация позволяет не только украсть данные пользователя, но и использовать его систему для дальнейших атак.
Почему атака оказалась эффективной
Сценарий оказался особенно успешным по нескольким причинам:
- Высокий интерес к утечке популярного AI-инструмента;
- Доверие пользователей к платформе GitHub;
- Использование SEO для продвижения вредоносных репозиториев;
- Желание разработчиков получить доступ к «эксклюзивным» возможностям.
Злоумышленники эксплуатируют любопытство и спешку пользователей, которые не проверяют источник скачиваемых файлов.
Дополнительные риски для разработчиков
Эксперты отмечают, что утечка исходного кода также открывает дополнительные возможности для атак:
- Анализ архитектуры приложения и поиск уязвимостей;
- Создание эксплойтов на основе внутренних механизмов;
- Разработка вредоносных форков с внедрёнными бэкдорами;
- Атаки на цепочку поставок (supply chain).
Особенно опасно использование подобных репозиториев в рабочих средах разработчиков, где могут храниться ключи API, токены и другие чувствительные данные.
Как защититься
Чтобы избежать заражения, рекомендуется соблюдать базовые меры безопасности:
- Не скачивать «утекшие» версии программ из непроверенных источников;
- Использовать только официальные репозитории и релизы;
- Проверять цифровые подписи и хэши файлов;
- Использовать антивирус и системы мониторинга;
- Ограничивать выполнение неизвестного кода в системе.
Также важно помнить, что утечка кода не делает его открытым и безопасным для использования.
Выводы
Инцидент с Claude Code наглядно показывает, насколько быстро злоумышленники адаптируются к новостям и используют их в своих целях. Даже случайная утечка без компрометации пользовательских данных может привести к масштабным атакам через социальную инженерию.
GitHub и другие платформы остаются удобной средой для распространения вредоносного ПО, особенно когда атаки маскируются под легитимные проекты. Пользователям и разработчикам необходимо сохранять бдительность и критически относиться к любым «утечкам» и неофициальным сборкам.
Часто задаваемые вопросы
Что такое инфостилер?
Инфостилер — это вредоносная программа, предназначенная для кражи конфиденциальных данных, включая пароли, cookies, банковские данные и криптокошельки.
Почему утечка кода опасна, если данные не были украдены?
Даже без утечки пользовательских данных исходный код может быть использован для поиска уязвимостей, создания вредоносных версий программы и проведения атак.
Можно ли безопасно скачать утекший код?
Нет. Такие файлы часто распространяются через поддельные репозитории и могут содержать вредоносное ПО.
Как понять, что репозиторий на GitHub вредоносный?
Признаки включают неизвестного автора, отсутствие истории коммитов, подозрительные файлы и предложения скачать бинарники вне GitHub.
Какие данные может украсть Vidar?
Vidar способен похищать пароли браузеров, cookies, данные автозаполнения, криптокошельки и другую чувствительную информацию.
Редактор: AndreyEx
