ハッカーたちはClaude Codeのソース漏洩をアクティブなマルウェア配信チャネルに変えており、GitHub Releasesを使用してVidarスティーラーとGhostSocksをAnthropicの「漏洩した」ツールのふりをしてプッシュしています。
このインシデントは、AI開発に関する人的および統治上の失敗がどのように急速に従来の侵害と新しいエージェントリスク露出の両方に波及するかを示しています。
59.8 MBのファイルは約1,900個のファイルにまたがる約512,000行の内部TypeScriptを露出させ、設定ミスの.npmignoreおよびBunのデフォルト完全ソースマップ動作を通じてClaude Codeエージェントハーネス全体を公開しました。
数時間以内に、漏洩したコードのミラーはGitHub全体に急速に増殖し、Anthropicにパッケージを削除させ、DMCA差止請求を発行させ、インシデントが外部侵入ではなく人的エラーが原因であることを確認させました。
2026年3月下旬、Anthropicは@anthropic-ai/claude-code npmパッケージのバージョン2.1.88で大規模なJavaScriptソースマップ(cli.js.map)を誤って出荷しました。
脅威行為者がコードで悪用チェーンを構築する必要はなく、可視性が必要でした。漏洩が広くスポットライトを浴びてから24時間以内に、彼らは公開されたソースを探しているユーザーに対してトロイの木馬化されたアーカイブを提供する偽の「漏洩Claude Code」リポジトリをGitHubに植え始めました。
GitHub経由のVidarとGhostSocks
キャンペーンを追跡しているセキュリティ研究者は、「Claude Codeリーク」ダウンロードを約束し、GitHub Releasesを通じて大きな7zアーカイブを配信している悪意あるリポジトリを観察しました。
これらのアーカイブ内では、Rustコンパイルされた実行ファイル(ClaudeCode_x64.exe、TradeAI.exeおよび他のブランド調整バリアント様々な名前)がローダーとして機能し、VidarスティーラーとGhostSocksプロキシマルウェアをドロップします。
Vidarはブラウザの認証情報、暗号通貨ウォレット、セッショントークン、詳細なシステム情報など、高価値の盗難に焦点を当てています。
GhostSocksは感染したマシンをSOCKS5プロキシに変換し、オペレーターに住宅用のようなインフラストラクチャを提供して、悪意のあるトラフィックを正当なユーザーアクティビティと混ぜます。
オペレーターは使い捨てGitHubアカウントとおとり名をローテーションし、GitHub Releasesの認識された信頼を悪用しながら、テイクダウンを回避するために定期的にリポジトリをリビルドしています。
Claude Codeの角度は、少なくとも2026年2月からアクティブになっている、より広いローテーション中キャンペーンの最新のおとり針です。
初期段階はAIツール、トレーディングユーティリティ、クリエイティブソフトウェア、汎用ユーティリティの混合をなりすましており、各7zパッケージは最終的に同じRustコンパイルされたインフォスティーラードロッパーを配信しました。
Trend Microの分析は、このアクティビティを以前、偽のAIインストーラーを使用してGhostSocksおよび関連するインフォスティーラーを拡散したより広いOpenClawスタイルのGitHubおとりのパターンにリンクしています。
検索駆動型の発見は感染チェーンの中心です。「漏洩したClaude Codeソース」、「Claude Codeダウンロード」または同様のAIツールキーワードなどのフレーズをクエリするユーザーは、最小限のREADMEを備えた説得力のあるリポジトリ、画像として埋め込まれた偽のダウンロードボタン、正当なソフトウェア配布に似たサイズのリリースアセットを備えたものを遭遇します。
実行されると、ローダーは広範なサンドボックスおよびVM チェックを実行し、VidarとGhostSocksの展開に進み、暗号化された構成と多段階スクリプトを使用してWindows Defenderを無効化し、コマンドアンドコントロールトラフィック用にファイアウォールポートを開きます。
Claude Code漏洩の長期的リスク
効果的なおとり針として機能することを超えて、漏洩したClaude Codeベースは永続的なリスクを導入します。本番規模のエージェントCLIへのパブリックアクセスは、開発者環境と直接対話するツール化に対する脆弱性研究を加速することができるパターンを露出させます。
研究者と敵は、512,000行のコードベースを採掘して、権限昇格パス、任意コード実行バグ、またはエージェントスキャフォルディングがファイル操作とツール呼び出しを処理する方法の弱点を見つけることができます。
ソースツリーはまた、Claude Codeがシステムプロンプト、ツール定義、安全ロジックをどのように構造化しているかを明らかにし、実質的に対象を絞ったプロンプト注入と安全バイパス試行のための青写真を提供します。
さらに、競合他社がAPIトラフィックで訓練するのを防ぐために設計されたAnthropicのアンチ蒸留メカニズムは詳細に文書化されており、洗練された敵がシグネチャチェックとカナリアツールの周りを設計する方法を許可しています。
緩和策は従来のマルウェア露出と新興エージェントリスクの両方に対処する必要があります。組織は公式チャネルとパッケージマネージャーへのClaude CodeなどのAI開発者ツールのインストールを制限し、非公式GitHubリポジトリとスタンドアロンインストーラーを高リスクとして扱う必要があります。
セキュリティチームは、GitHub Releasesの精査を増やし、大きなアーカイブをホストし、最小限の開発履歴を示す新しく作成されたリポジトリをフラグ付けし、既知のVidarおよびGhostSocksインジケーターをネットワークおよびエンドポイントレイヤーでブロックする必要があります。
このインシデントは、妥協経路がソフトウェアの欠陥だけでなく、人的および統治上のギャップを通じてますます流れることを強調しています。
TrendAIのエージェント統治ゲートウェイは統治をエージェントAIの制御プレーンとして位置付け、組織がエージェントを発見・インベントリーし、その動作を観察・理解し、異常または不安全なアクションを検出し、自律的な意思決定に対してポリシーを実行するのを支援します。
並行して、TrendAI Vision OneはこのキャンペーンのVidarおよびGhostSocks IOCの検出を統合し、これらのGitHub配信されたペイロードに関連付けられたアクティビティを追跡するための、キュレーションされた脅威ハント クエリ、インサイト、インテリジェンスを顧客に提供します。
翻訳元: https://gbhackers.com/claude-code-leak/
