Contents

人間のクロードのコード漏洩により GitHub でマルウェア キャンペーンが引き起こされる

<本文>/images/claude-leak-malware.jpg

進行中の攻撃の一部として特定された 2 つの悪意のあるリポジトリ

Anthropic は誤って npm パッケージ経由でクロード コードのソース コードを公開しました。漏洩には、1,906 個のファイルにわたる難読化されていない TypeScript コード約 513,000 行が含まれていました。

公開されたコードはすぐに GitHub 全体に広がり、ユーザーはコードをフォークして広く再配布しました。漏洩の規模と可視性により、突然の関心を利用しようとするサイバー犯罪者にとって魅力的な標的となりました。

ハッカーは偽のリポジトリを使って漏洩を武器にする

Zscaler のセキュリティ研究者は、漏洩したクロード コードをおとりとして使用するアクティブなマルウェア キャンペーンを特定しました。攻撃者は、プロジェクトになりすまして「ロック解除されたエンタープライズ機能」へのアクセスを約束する偽の GitHub リポジトリを作成しました。

これらのリポジトリは、好奇心と緊急性を利用してユーザーをだまして悪意のあるファイルをダウンロードさせることを目的としています。このアプローチは、攻撃者がトレンド ツールやリークを使用してマルウェアを配布した以前のキャンペーンを厳密に反映しています。

攻撃の仕組み

この攻撃は、ユーザーがクロード コードを装った悪意のあるアーカイブをダウンロードしたときに始まります。被害者は内部で、一見すると正規のもののように見える ClaudeCode_x64.exe という名前の偽の実行可能ファイルを見つけます。

実行可能ファイルは起動されると、追加のペイロードをシステムにサイレントにインストールする Rust ベースのドロッパーを実行します。感染チェーンは、リモート アクセスと永続化を可能にする GhostSocks プロキシ ツールとともに、資格情報や機密データを標的とする Vidar infostealer の展開につながります。

研究者は、悪意のあるアーカイブは頻繁に更新を受信して​​おり、これはキャンペーンが依然としてアクティブであり、進化し続けていることを示していると指摘しました。

複数のリポジトリが連携したアクティビティを通知

Zscaler は、同じ手法を使用して 2 番目のリポジトリも検出しました。これは、同じ攻撃者による組織的な取り組みを示唆しています。全体的なパターンは、攻撃者がリーチを最大化するためにウイルス性のトピックを悪用する、以前の GitHub 悪用キャンペーンと一致しています。

同様のスキームが OpenClaw などのツールの偽インストーラーを使用してマルウェアを拡散しているため、この戦術は新しいものではありません。

マルウェア キャンペーンはトレンドのトピックに追随する傾向が強くなっています

クロード・コード事件は、サイバーセキュリティの成長傾向を浮き彫りにしました。現在、攻撃者は、人気のあるニュース、リーク、開発者ツールを武器にして、疑いを持たないユーザーを誘惑しようと迅速に行動しています。

Axios 関連のマルウェア キャンペーンや、Chrome メモリから暗号化キーを抽出する可能性のある VoidStealer 攻撃などの最近の脅威は、これらのキャンペーンがいかに急速に進化しているかを示しています。

ユーザーは常に注意を払い、特にオンラインで突然注目を集めた場合には、未確認のソースから非公式または漏洩したソフトウェアをダウンロードしないようにする必要があります。

BleepingComputer経由

*️⃣ 出典リンク:

Zscaler、OpenClaw などのツールの偽インストーラー、Axios 関連のマルウェア キャンペーン、Chrome メモリから暗号化キーを抽出、 BleepingComputer