Anthropic Claude Code Leak löst Malware-Kampagne auf GitHub aus

/de/images/claude-leak-malware.jpg

Als Teil des laufenden Angriffs wurden zwei bösartige Repositories identifiziert

Anthropic hat versehentlich den Quellcode für Claude Code über ein npm-Paket offengelegt. Das Leck umfasste rund 513.000 Zeilen unverschleierten TypeScript-Codes in 1.906 Dateien.

Der offengelegte Code verbreitete sich schnell auf GitHub, wo Benutzer ihn aufspalteten und weithin weiterverteilten. Das Ausmaß und die Sichtbarkeit des Lecks machten es zu einem attraktiven Ziel für Cyberkriminelle, die aus dem plötzlichen Interesse Kapital schlagen wollten.

Hacker machen Leak mit gefälschten Repositories zu einer Waffe

Sicherheitsforscher von Zscaler haben eine aktive Malware-Kampagne identifiziert, die den durchgesickerten Claude-Code als Köder nutzt. Angreifer haben gefälschte GitHub-Repositories erstellt, die sich als das Projekt ausgeben und Zugriff auf „freigeschaltete Unternehmensfunktionen“ versprechen.

Diese Repositories zielen darauf ab, Benutzer dazu zu verleiten, schädliche Dateien herunterzuladen, indem sie Neugier und Dringlichkeit ausnutzen. Dieser Ansatz ähnelt stark früheren Kampagnen, bei denen Angreifer Trendtools oder Leaks nutzten, um Malware zu verbreiten.

Wie der Angriff funktioniert

Der Angriff beginnt, wenn ein Benutzer ein als Claude Code getarntes Schadarchiv herunterlädt. Darin finden Opfer eine gefälschte ausführbare Datei namens ClaudeCode_x64.exe, die auf den ersten Blick legitim erscheint.

Nach dem Start führt die ausführbare Datei einen Rust-basierten Dropper aus, der stillschweigend zusätzliche Payloads auf dem System installiert. Die Infektionskette führt zum Einsatz des Vidar-Infostealers, der auf Anmeldeinformationen und vertrauliche Daten abzielt, sowie des GhostSocks-Proxy-Tools, das Fernzugriff und Persistenz ermöglicht.

Die Forscher stellten fest, dass das Schadarchiv regelmäßig aktualisiert wird, was darauf hindeutet, dass die Kampagne aktiv bleibt und sich weiterentwickelt.

Mehrere Repositories signalisieren koordinierte Aktivität

Zscaler entdeckte mit derselben Technik auch ein zweites Repository, was auf eine koordinierte Aktion desselben Bedrohungsakteurs schließen lässt. Das Gesamtmuster stimmt mit früheren GitHub-Missbrauchskampagnen überein, bei denen Angreifer virale Themen ausnutzen, um die Reichweite zu maximieren.

Diese Taktik ist nicht neu, da ähnliche Systeme gefälschte Installationsprogramme für Tools wie OpenClaw verwendet haben, um Malware zu verbreiten.

Malware-Kampagnen folgen zunehmend Trendthemen

Der Claude-Code-Vorfall verdeutlicht einen wachsenden Trend in der Cybersicherheit. Angreifer gehen jetzt schnell vor und nutzen populäre Nachrichten, Leaks und Entwicklertools als Waffe, um ahnungslose Benutzer anzulocken.

Aktuelle Bedrohungen wie die Axios-bezogene Malware-Kampagne und der VoidStealer-Angriff, der Verschlüsselungsschlüssel aus dem Chrome-Speicher extrahieren könnte, zeigen, wie schnell sich diese Kampagnen entwickeln.

Benutzer sollten vorsichtig sein und das Herunterladen inoffizieller oder durchgesickerter Software aus ungeprüften Quellen vermeiden, insbesondere wenn sie online plötzlich Aufmerksamkeit erregt.

Über BleepingComputer

*️⃣ Quelllink:

Zscaler , gefälschte Installer für Tools wie OpenClaw, Axios-bezogene Malware-Kampagne, Extrahieren von Verschlüsselungsschlüsseln aus dem Chrome-Speicher, BleepingComputer ,