人間のクロードのコード漏洩により GitHub でマルウェア キャンペーンが引き起こされる
<本文>
進行中の攻撃の一部として特定された 2 つの悪意のあるリポジトリ
Anthropic は誤って npm パッケージ経由でクロード コードのソース コードを公開しました。漏洩には、1,906 個のファイルにわたる難読化されていない TypeScript コード約 513,000 行が含まれていました。
公開されたコードはすぐに GitHub 全体に広がり、ユーザーはコードをフォークして広く再配布しました。漏洩の規模と可視性により、突然の関心を利用しようとするサイバー犯罪者にとって魅力的な標的となりました。
ハッカーは偽のリポジトリを使って漏洩を武器にする
Zscaler のセキュリティ研究者は、漏洩したクロード コードをおとりとして使用するアクティブなマルウェア キャンペーンを特定しました。攻撃者は、プロジェクトになりすまして「ロック解除されたエンタープライズ機能」へのアクセスを約束する偽の GitHub リポジトリを作成しました。
これらのリポジトリは、好奇心と緊急性を利用してユーザーをだまして悪意のあるファイルをダウンロードさせることを目的としています。このアプローチは、攻撃者がトレンド ツールやリークを使用してマルウェアを配布した以前のキャンペーンを厳密に反映しています。
攻撃の仕組み
この攻撃は、ユーザーがクロード コードを装った悪意のあるアーカイブをダウンロードしたときに始まります。被害者は内部で、一見すると正規のもののように見える ClaudeCode_x64.exe という名前の偽の実行可能ファイルを見つけます。
実行可能ファイルは起動されると、追加のペイロードをシステムにサイレントにインストールする Rust ベースのドロッパーを実行します。感染チェーンは、リモート アクセスと永続化を可能にする GhostSocks プロキシ ツールとともに、資格情報や機密データを標的とする Vidar infostealer の展開につながります。
研究者は、悪意のあるアーカイブは頻繁に更新を受信しており、これはキャンペーンが依然としてアクティブであり、進化し続けていることを示していると指摘しました。
複数のリポジトリが連携したアクティビティを通知
Zscaler は、同じ手法を使用して 2 番目のリポジトリも検出しました。これは、同じ攻撃者による組織的な取り組みを示唆しています。全体的なパターンは、攻撃者がリーチを最大化するためにウイルス性のトピックを悪用する、以前の GitHub 悪用キャンペーンと一致しています。
同様のスキームが OpenClaw などのツールの偽インストーラーを使用してマルウェアを拡散しているため、この戦術は新しいものではありません。
マルウェア キャンペーンはトレンドのトピックに追随する傾向が強くなっています
クロード・コード事件は、サイバーセキュリティの成長傾向を浮き彫りにしました。現在、攻撃者は、人気のあるニュース、リーク、開発者ツールを武器にして、疑いを持たないユーザーを誘惑しようと迅速に行動しています。
Axios 関連のマルウェア キャンペーンや、Chrome メモリから暗号化キーを抽出する可能性のある VoidStealer 攻撃などの最近の脅威は、これらのキャンペーンがいかに急速に進化しているかを示しています。
ユーザーは常に注意を払い、特にオンラインで突然注目を集めた場合には、未確認のソースから非公式または漏洩したソフトウェアをダウンロードしないようにする必要があります。
BleepingComputer経由
*️⃣ 出典リンク:
Zscaler、OpenClaw などのツールの偽インストーラー、Axios 関連のマルウェア キャンペーン、Chrome メモリから暗号化キーを抽出、 BleepingComputer、