Suçlular Vidar kötü amaçlı yazılımını GitHub’a yaymak için Claude Code sızıntısından yararlanıyor

Anthropic’in yapay zeka destekli programlama aracı Claude Code’ın kaynak kodunun kazara sızdırılması, riske yeni bir boyut kazandırdı. Mart ayının sonlarında, bir paketleme hatası, 2.1.88 sürümünden 500.000 satırdan fazla TypeScript kodunu açığa çıkardı. Poucos gün sonra kötü niyetli aktörler, materyalle ilgilenen geliştiricilerin ilgisini çekmek için GitHub platformunda sahte depolar oluşturmaya başladı. Esses depoları, kodun kilidi açılmış veya tam sürümlerini vaat ediyor ve aslında Vidar olarak bilinen bir bilgi hırsızı sunuyor.

Suçlular, veri havuzlarını sızıntıyla ilgili aramaların ilk sonuçları arasında görünecek şekilde optimize ediyor. Orijinal kodu arayan Usuários, Rust’de bir damlalık içeren sıkıştırılmış dosyaları indiriyor. Essa aracı, kurbanın bilgisayarında depolanan kimlik bilgilerini, tarama geçmişini, hassas dosyaları ve diğer bilgileri çalmaktan sorumlu olan Vidar kötü amaçlı yazılımını yüklüyor. Bazı durumlarda paket, virüslü cihazı kötü amaçlı trafik için bir proxy’ye dönüştüren GhostSocks’u da içeriyor.

Sahte depolar, sızdırılmış kodu arayan geliştiricileri cezbeder

Güvenlik araştırmacıları, “idbzoomh” olarak tanımlanan bir kullanıcı tarafından tutulan en az iki depo tespit etti. Esses alanları, sızdırılan kodun meşru ayna depolarını simüle eder. Eles, teknoloji profesyonelleri arasında ilgiyi artırmak için kilidi açılmış kurumsal özelliklerden bahseden açıklamalar içerir.

Bulaşma süreci, güncelleme ya da değiştirilmiş sürüm gibi görünen bir ZIP dosyasının ya da yürütülebilir dosyanın indirilmesiyle başlar. Dosyayı çalıştırırken, damlalık Vidar sessiz kurulum mekanizmasını etkinleştirir. Bilgi hırsızı verileri toplar ve saldırganlar tarafından kontrol edilen sunuculara gönderir; genellikle izlemeyi zorlaştırmak için proxy’ler kullanır.

Kampanya, yanlışlıkla npm paketine eklenen bir kaynak harita dosyası aracılığıyla meydana gelen ilk sızıntının yarattığı ilgiden doğrudan yararlanıyor. Esse dosyası, henüz kamuya açıklanmayan aracı ve izin bileşenleri de dahil olmak üzere aracın iç mimarisinin tamamen yeniden yapılandırılmasına olanak sağladı.

Vidar ve GhostSocks Kötü Amaçlı Yazılımının Teknik Ayrıntıları

Vidar, klasik bir bilgi hırsızı gibi çalışıyor ve kullanıcının çok fazla dikkatini çekmeden değerli bilgileri çıkarmaya odaklanıyor. Ele, kayıtlı şifreler, çerezler, API anahtarları ve belgeler için ortak klasörleri, tarayıcıları ve yüklü uygulamaları tarar. GhostSocks ile entegrasyon, ele geçirilen cihazın diğer suç operasyonlarında aracı olarak görev yapmasına olanak tanıyarak tehdidin kapsamını genişletir.

Siber güvenlik uzmanları, iki kötü amaçlı yazılımın birleşiminin, enfeksiyonu geliştiriciler için özellikle tehlikeli hale getirdiğini vurguluyor. Muitos profesyoneller iş bilgisayarlarındaki veri havuzlarına, bulut ortamlarına ve kurumsal hesaplara erişim kimlik bilgilerini saklıyor. Bu verilerin çalınması, projelerin ve altyapıların zincirleme olarak tehlikeye atılmasına yol açabilir.

Dağıtım esas olarak Google numaralı telefondaki organik aramalar ve GitHub’da doğrudan gezinme yoluyla gerçekleşir. Sahte depolar, sızıntıdan kısa süre sonra ortaya çıkan meşru aynalara benzer adları ve yapıları kopyaladıkları için hızla görünürlük kazanıyor.

Antropik ilk sızıntının nedenini doğruladı

Anthropic, olayı insan hatasından kaynaklanan bir paketleme sorunu olarak kamuoyuna duyurdu. Şirket, yaklaşık 60 MB büyüklüğündeki font eşleme dosyasının, npm kayıt defterinde yayınlanan sürüme tesadüfen dahil edildiğini açıkladı. Nenhum Bu bölümde müşteri verileri, kimlik bilgileri veya yapay zeka modellerinin ağırlıkları açığa çıktı.

Sızıntı, çoklu görev aracısı mantığı ve geliştirilmekte olan özellikler de dahil olmak üzere Claude Code’ın CLI uygulamasının ayrıntılarını ortaya çıkardı. Embora kaynak kodu hassas kullanıcı bilgileri içermiyor, aracın iç mimarisine görünürlük sağlıyor ve bu da hem araştırmacıları hem de kötü niyetli aktörleri cezbediyor.

Leia Tambem

Park Mi-sun meme kanseriyle mücadelesinin ardından televizyona geri dönüyor

Hiroshima Carp, yağmur nedeniyle ertelenen maçın ardından Tokoda’nın 3. maçta Nippon Ham’a karşı çıkacağını onayladı

Daha eski, bakımı kötü yapılmış araçlar E10 benzini kullanırken sorunlarla karşılaşıyor

Şirket, sorunlu paketi kaldırmak ve maruz kalma riskini azaltmak için hızlı bir şekilde harekete geçti. Mesmo Bu nedenle, düzeltmeden önce kodun kopyaları zaten indirilmiş ve birçok genel depoya yayılmıştı.

Geliştirici topluluğu için riskler

Sızan kodu incelemek isteyen geliştiriciler, yeterli doğrulama olmadan değiştirilmiş sürümleri yükleme riskiyle karşı karşıyadır. Resmi olmayan kaynaklardan dosya indirme uygulaması, özellikle olayın yarattığı teknik merakın yüksek olduğu bir senaryoda, bulaşma olasılığını önemli ölçüde artırıyor.

Güncel antivirüs yazılımı kullanmak ve yürütmeden önce dosya karmalarını kontrol etmek, temel koruma önlemlerini temsil eder. Especialistas, kodun “kilitlenmemiş” veya “kurumsal” sürümlerini vaat eden depolardan kaçınmanızı öneriyor; çünkü bu teklifler genellikle kötü niyetli niyetleri gizler.

Sahte veri havuzlarının ilgi çekme hızı, yapay zeka araç sızıntılarına yönelik kolektif ilginin saatler içinde nasıl istismar edilebileceğini gösteriyor. Plataformas GitHub gibi, kötü amaçlı içeriği tespit etmek ve kaldırmak için topluluğun dikkatli olmasına güvenir, ancak ilk sorumluluk son kullanıcıya aittir.

NPM ve GitHub ekosisteminde önerilen önleyici tedbirler

Teknoloji profesyonelleri mümkün olduğunca doğrudan resmi kaynaklardan gelen paketleri yüklemeye öncelik vermelidir. Kodun sızdırılması durumunda en iyi uygulama, herhangi bir indirme işleminden önce bağımsız incelemelerin beklenmesini içerir. Verificar veri deposu yöneticisinin itibarı ve dosya içeriklerinin güvenlik araçlarıyla analiz edilmesi de riskin azaltılmasına yardımcı olur.

Bu bölüm, hassas teknolojilerle uğraşan şirketlerde sıkı paketleme süreçlerinin önemini pekiştiriyor. Erros Sürüm hatlarındaki insanlar, dahili kodun kasıtsız olarak açığa çıkmasında ana giriş noktalarından biri olmaya devam ediyor.

Siber güvenlik topluluğu bu kampanyanın gelişimini yakından takip ediyor. Relatórios, Vidar’in diğer bağımsız operasyonlarda aktif olmaya devam ettiğini gösteriyor; bu da saldırganların Claude Code sızıntısının kullanımını ek bir dağıtım vektörü olarak genişletebileceğini gösteriyor.

• Sızıntıyla ilgili arama sonuçlarında görünen veri havuzu bağlantılarına önceden doğrulama olmadan tıklamaktan kaçının.
• Resmi paket yöneticilerini kullanın ve güvenlik araçlarını her zaman güncel tutun.
• Kaynağı şüpheli olan herhangi bir kaynak kodunu indirdikten sonra düzenli sistem taramaları gerçekleştirin.
• Herkese açık kaynaklardan elde edilen kodları analiz etmek için izole ortamları veya sanal makineleri tercih edin.

Bu örnek, yapay zeka geliştirme ekosistemindeki güvenlik zorluklarını gösteriyor. Enquanto İlk sızıntı yalnızca CLI araç kodunu açığa çıkardı; sonraki istismar, meşru menfaati gerçek kullanıcı verilerini çalma fırsatına dönüştürdü.

Anthropic, iç sürüm süreçlerini güçlendirmek için çalışmalarına devam ediyor. Desenvolvedores ve benzer araçları kullanan şirketlerin, özellikle teknik içeriklerin internette yoğun hareket ettiği dönemlerde dijital hijyen uygulamalarına dikkatlerini iki katına çıkarması gerekiyor.