恶意软件伪装成Claude Code源码泄露进行攻击

本周，数万人急切地下载了据称泄露的Claude Code源代码，但其中一些下载实际上包含了窃取凭证的恶意软件。

一个由用户idbzoomh发布的恶意GitHub仓库利用Claude Code泄露事件作为诱饵，诱骗用户下载恶意软件，包括用于窃取账户凭证、信用卡数据和浏览器历史记录的信息窃取工具Vidar，以及用于代理网络流量的GhostSocks。

Zscaler的ThreatLabz研究人员在监控GitHub威胁时发现了这个仓库，称其伪装成Anthropic公司Claude Code命令行界面的泄露TypeScript源代码。

安全研究人员在周四的博客中表示："README文件甚至声称代码是通过npm包中的.map文件泄露的，然后重建为一个具有'解锁'企业功能且无消息限制的可运行分支。"

他们补充说，这个GitHub仓库链接在Google搜索"泄露的Claude Code"等关键词时出现在搜索结果的顶部位置。虽然在本文发布时情况已有所改变，但至少还有两个该开发者的恶意Claude Code源码泄露仓库仍存在于GitHub上，其中一个拥有793个分支和564个星标。

仓库发布部分中的恶意.7z压缩包名为"Claude Code - 泄露源代码"，其中包含一个名为ClaudeCode_x64.exe的基于Rust的投递器。

一旦执行，恶意软件会在用户机器上释放Vidar v18.7和GhostSocks，然后Vidar窃取器开始收集敏感数据，而GhostSocks则将受感染设备转变为代理基础设施，犯罪分子可以利用它来掩盖真实的在线位置，并通过被攻陷的计算机进行其他活动。

今年3月，安全公司Huntress曾警告过类似的恶意软件活动，当时使用已经存在风险的AI智能体平台OpenClaw作为GitHub诱饵来投递相同的两个恶意载荷。

这两起事件都说明了犯罪分子如何快速利用热门新产品或新闻事件（如OpenClaw和Claude Code泄露）进行在线诈骗和非法牟利。Zscaler团队写道："这种快速行动增加了机会性攻击的可能性，特别是通过恶意仓库进行的攻击。"

该博客还包含一份威胁指标清单，包括含有恶意Claude Code泄露的GitHub仓库和恶意软件哈希值，以帮助防护人员进行威胁狩猎工作。因此务必查看相关信息，并且一如既往地谨慎对待下载的内容。

Q&A

Q1：什么是Vidar恶意软件？它有什么危害？

A：Vidar是一种信息窃取工具，专门用于窃取账户凭证、信用卡数据和浏览器历史记录等敏感信息。在这次攻击中，犯罪分子使用的是Vidar v18.7版本，一旦用户执行了伪装的Claude Code源码文件，该恶意软件就会开始收集用户的敏感数据。

Q2：GhostSocks恶意软件是如何工作的？

A：GhostSocks是一种代理恶意软件，它会将受感染的设备转变为代理基础设施。犯罪分子可以利用这些被攻陷的计算机来掩盖自己的真实在线位置，并通过这些受感染的设备进行其他恶意活动，从而逃避追踪和检测。

Q3：如何避免下载到伪装的Claude Code恶意软件？

A：用户应该谨慎对待从GitHub等平台下载的"泄露"源代码，特别是那些声称具有"解锁企业功能"或"无限制"特性的版本。建议只从官方渠道下载软件，仔细检查仓库的可信度，并使用安全软件扫描下载的文件。