何万人もの人々が今週漏洩したClaude Codeのソースコードを熱心にダウンロードし、そのダウンロードの一部には認証情報を盗むマルウェアが含まれていた。
idbzoomhによって公開された悪質なGitHubリポジトリは、Claude Code流出をおとりとして使用し、Vidar(アカウント認証情報、クレジットカード情報、ブラウザ履歴を盗むインフォステーラー)およびネットワークトラフィックをプロキシするために使用されるGhostSocksを含むマルウェアをダウンロードするようにユーザーをだまし込んでいる。
ZscalerのThreatLabzの研究者たちはGitHubの脅威監視中にこのリポジトリを発見し、AnthropicのClaude Code CLIのTypeScriptソースコードの流出を装っていると述べた。
「READMEファイルはコードがnpmパッケージの.mapファイルを通じて暴露され、その後『ロック解除された』エンタープライズ機能と無制限のメッセージを備えた動作中のフォークに再構築されたと主張しています」とセキュリティ研究者たちは木曜のブログで述べた。
GitHubリポジトリリンクは「漏洩したClaude Code」などの検索でGoogle検索結果の上部に表示されたと彼らは付け加えた。The Registerの公開時点ではそうではなかったが、開発者のトロイの木馬化されたClaude Codeソース流出リポジトリの少なくとも2つがGitHubに残っており、そのうちの1つは793個のフォークと564個のスターを持っていた。
リポジトリのリリースセクション内の悪質な.7zアーカイブはClaude Code – Leaked Source Codeという名前で、ClaudeCode_x64.exeという名前のRustベースのドロッパーが含まれている。
実行されると、マルウェアはユーザーのマシンにVidar v18.7とGhostSocksをドロップし、Vidarステーラーは機密データを収集し始め、GhostSocksは感染したデバイスをプロキシインフラストラクチャに変えて、犯罪者が自分の真実のオンライン位置を隠し、侵害されたコンピュータを通じて追加のアクティビティを実行するために使用できるようにする。
3月、セキュリティ企業Huntressは、既に危険なAIエージェントプラットフォームであるOpenClawをGitHubの囮として使用して同じ2つのペイロードを配信する同様のマルウェアキャンペーンについて警告した。
これら両方は、犯罪者がどれだけ迅速に流行している新製品またはニュースイベント(OpenClawとClaude Code流出など)を利用し、その後オンライン詐欺と経済的利益のためにそれを悪用するかを示しています。「その種の急速な動きは機会的な侵害のリスクを増加させ、特にトロイの木馬化されたリポジトリを通じて増加させます」とZscalerチームは書きました。
ブログには、トロイの木馬化されたClaude Code流出とマルウェアハッシュを含むGitHubリポジトリを含む侵害のインジケーターのリストも含まれており、防御者が脅威ハンティングの取り組みを支援するのに役立つため、必ず確認してください。そして、いつものように、何をダウンロードするかについて注意してください。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/02/trojanized_claude_code_leak_github/
