A bűnözők kihasználják a Claude Code kiszivárogtatását, hogy a Vidar kártevőket terjesszék a GitHubon

A Claude Code, a Anthropic mesterséges intelligencia által támogatott programozóeszköz forráskódjának véletlen kiszivárgása új kockázati dimenziót kapott. Március végén egy csomagolási hiba több mint 500 000 sornyi TypeScript kódot tárt fel a 2.1.88-as verzióból. Poucos nappal később a rosszindulatú szereplők hamis adattárakat kezdtek létrehozni a GitHub platformon, hogy vonzzák az anyag iránt érdeklődő fejlesztőket. A Esses adattárak a kód zárolatlan vagy teljes verzióját ígérik, és valójában egy Vidar néven ismert infolopót szállítanak.

A bűnözők úgy optimalizálják az adattárakat, hogy a kiszivárogtatással kapcsolatos keresések első találatai között jelenjenek meg. Usuários, akik az eredeti kódot keresik, a Rust-ben lévő droppert tartalmazó tömörített fájlokat töltik le. A Essa-es eszköz telepíti a Vidar számú rosszindulatú programot, amely a hitelesítő adatok ellopásáért, a böngészési információkért, az áldozatok számítógépes előzményeiért, az áldozatokon tárolt érzékeny fájlokért és egyéb adatokért felelős. Egyes esetekben a csomag GhostSocks-t is tartalmaz, amely a fertőzött eszközt a rosszindulatú forgalom proxyjává alakítja.

A hamis adattárak csalogatják a kiszivárgott kódot kereső fejlesztőket

A biztonsági kutatók legalább két adattárat azonosítottak, amelyeket egy „idbzoomh”-ként azonosított felhasználó tart fenn. Esses szóközök szimulálják a kiszivárgott kód legitim tükörtárolóit. A Eles olyan leírásokat tartalmaz, amelyek feloldott vállalati funkciókat említenek, hogy növeljék a technológiai szakemberek vonzerejét.

A fertőzési folyamat egy ZIP-fájl vagy egy frissítésnek vagy módosított verziónak álcázott végrehajtható fájl letöltésével kezdődik. A fájl végrehajtásakor a dropper aktiválja a Vidar csendes telepítési mechanizmust. Az infostealer adatokat gyűjt és elküldi a támadók által irányított szervereknek, gyakran proxykat használva a nyomon követés megnehezítésére.

A kampány közvetlenül kihasználja a kezdeti kiszivárgás okozta érdeklődést, amely egy tévedésből az npm csomagban található forrástérképfájlon keresztül történt. Esse fájl lehetővé tette az eszköz belső architektúrájának teljes rekonstrukcióját, beleértve a még nyilvánosan ki nem adott ügynök- és engedélyösszetevőket.

A Vidar és a GhostSocks malware műszaki adatai

A Vidar úgy működik, mint egy klasszikus infolopó, amelynek célja az értékes információk kinyerése anélkül, hogy túl sok figyelmet vonna magára. A Ele átvizsgálja a gyakori mappákat, böngészőket és telepített alkalmazásokat mentett jelszavak, cookie-k, API-kulcsok és dokumentumok után. A GhostSocks-szal való integráció kiterjeszti a fenyegetés hatókörét azáltal, hogy lehetővé teszi, hogy a feltört eszköz közvetítőként szolgáljon más bűnügyi műveletekben.

A kiberbiztonsági szakértők kiemelik, hogy a két kártevő kombinációja különösen veszélyessé teszi a fertőzést a fejlesztők számára. A Muitos szakemberek munkahelyi számítógépeiken tárolják a lerakatokhoz, felhőkörnyezetekhez és vállalati fiókokhoz való hozzáférési hitelesítő adatokat. Ezen adatok ellopása a projektek és infrastruktúrák láncolatához vezethet.

A terjesztés főként a Google-es számon végzett organikus keresésekkel és a GitHubon történő közvetlen navigációval történik. A hamis adattárak gyorsan láthatóvá válnak, mert olyan neveket és struktúrákat replikálnak, amelyek hasonlóak a nem sokkal a szivárgás után megjelent legitim tükrökhöz.

Az antropikus megerősíti a kezdeti szivárgás okát

A Anthropic nyilvánosan elismerte, hogy az incidens emberi hiba okozta csomagolási probléma. A cég tisztázta, hogy a körülbelül 60 MB-os font térképfájl véletlenül került be az npm nyilvántartásában közzétett verzióba. Nenhum Az epizódban nyilvánosságra kerültek az AI-modellek vásárlói adatai, hitelesítő adatai vagy súlya.

A szivárgás felfedte a Claude Code CLI megvalósításának részleteit, beleértve a többfeladatos ügynök logikáját és a fejlesztés alatt álló funkciókat. Embora a forráskód nem tartalmaz érzékeny felhasználói információkat, betekintést nyújt az eszköz belső architektúrájába, ami vonzza a kutatókat és a rosszindulatú szereplőket egyaránt.

Leia Tambem

Park Mi-sun visszatér a tévébe a mellrák elleni küzdelem után

A Hiroshima Carp a 3. napon igazolja a Tokodát a Nippon Ham ellen, miután a meccset eső miatt elhalasztották

A régebbi, rosszul karbantartott járművek problémákkal szembesülnek az E10-es benzin használatakor

A vállalat gyorsan intézkedett a problémás csomag eltávolítása és a kitettség csökkentése érdekében. Mesmo Így a kód másolatait már a javítás előtt letöltötték és elterjedték több nyilvános adattárban.

Kockázatok a fejlesztői közösség számára

A kiszivárgott kódot tanulmányozni kívánó fejlesztők azzal a kockázattal szembesülnek, hogy megfelelő ellenőrzés nélkül telepítik a módosított verziókat. A fájlok nem hivatalos forrásból történő letöltésének gyakorlata jelentősen növeli a fertőzés esélyét, különösen az incidens által generált nagy technikai kíváncsiság forgatókönyve esetén.

A naprakész víruskereső szoftver használata és a fájlkivonatok végrehajtása előtti ellenőrzése alapvető védelmi intézkedéseket jelent. A Especialistas azt javasolja, hogy kerülje az olyan adattárakat, amelyek a kód „feloldott” vagy „vállalati” verzióját ígérik, mivel ezek az ajánlatok gyakran rosszindulatú szándékot rejtenek.

Az a sebesség, amellyel a hamis adattárak vonzásra találtak, azt mutatja, hogy az AI-eszközök kiszivárgása iránti kollektív érdeklődést órákon belül ki lehet használni. A Plataformas-hez hasonlóan a GitHub a közösségi éberségre támaszkodik a rosszindulatú tartalom azonosítása és eltávolítása érdekében, de a kezdeti felelősség a végfelhasználóé.

Javasolt megelőző intézkedések az npm és a GitHub ökoszisztémában

A technológiai szakembereknek lehetőség szerint előnyben kell részesíteniük a csomagok közvetlenül hivatalos forrásból történő telepítését. Kiszivárgott kód esetén a legjobb gyakorlat az, hogy a letöltés előtt meg kell várni a független felülvizsgálatokat. Verificar a lerakatkarbantartó hírneve és a fájlok tartalmának biztonsági eszközökkel történő elemzése is segít a kockázat csökkentésében.

Az epizód megerősíti a szigorú csomagolási folyamatok fontosságát az érzékeny technológiákkal foglalkozó vállalatoknál. Erros A kibocsátási csővezetékekben lévő emberek továbbra is az egyik fő belépési pont a belső kód nem szándékos expozíciójához.

A kiberbiztonsági közösség szorosan követi ennek a kampánynak a fejlődését. A Relatórios azt jelzi, hogy a Vidar továbbra is aktív más független műveletekben, ami arra utal, hogy a támadók kiterjeszthetik a Claude Code szivárgás további elosztási vektorként való használatát.

• Kerülje el a kiszivárogtatással kapcsolatos keresési eredményekben megjelenő adattárhivatkozásokra való kattintást előzetes ellenőrzés nélkül.
• Használja a hivatalos csomagkezelőket, és tartsa mindig naprakészen a biztonsági eszközöket.
• Végezzen rendszeres rendszerellenőrzést a kétes eredetű forráskód letöltése után.
• Előnyben részesítse az elszigetelt környezeteket vagy virtuális gépeket a nyilvános forrásokból származó kódok elemzéséhez.

Az eset szemlélteti a biztonsági kihívásokat a mesterséges intelligencia fejlesztési ökoszisztémájában. Enquanto A kezdeti szivárgás csak a CLI eszköz kódját tette közzé, a későbbi kihasználás a jogos érdeket valódi felhasználói adatok ellopásának lehetőségévé változtatta.

A Anthropic továbbra is dolgozik belső kiadási folyamatainak megerősítésén. Desenvolvedores és a hasonló eszközöket használó cégeknek duplán kell fordítaniuk figyelmét a digitális higiéniai gyakorlatokra, különösen akkor, amikor a műszaki tartalom nagy mennyiségben mozog az interneten.