Họ nghĩ đang tải mã nguồn Claude Code, nhưng nhận "phao bôi" malware đáng sợ

Tấn công mạng nhắm vào mã nguồn Claude Code

Hàng chục ngàn lập trình viên và người dùng quan tâm đã vội vã tải về mã nguồn bị rò rỉ của Claude Code trong tuần này, nhưng một số bản tải về thực tế chứa "phao bôi" malware đáng sợ. Kẻ tấn công đã đăng tải một kho lưu trữ GitHub độc hại sử dụng sự kiện rò rỉ mã nguồn này để lừa người dùng tải xuống phần mềm độc hại.

Theo nhóm nghiên cứu ThreatLabz của Zscaler, kho lưu trữ do idbzoomh tạo ra được trang trí với tiêu đề README giả mạo là mã nguồn TypeScript bị lộ từ Anthropic. Mô tả của nó hứa hẹn cung cấp các tính năng doanh nghiệp được "mở khóa" mà không có giới hạn thông báo, thu hút sự chú ý của cộng đồng lập trình viên.

Thực tế, kho này chứa một tệp nén .7z tên là "Claude Code - Leaked Source Code". Khi được kích hoạt, nó sẽ cài đặt Vidar v18.7, một phần mềm đánh cắp thông tin (infostealer), và GhostSocks để thay đổi lưu lượng mạng. Vidar sẽ thu thập tài khoản, dữ liệu thẻ tín dụng và lịch sử duyệt web, trong khi GhostSocks biến máy tính bị nhiễm thành hạ tầng proxy cho tội phạm mạng.

Chiến dịch này là một ví dụ điển hình cho thấy kẻ tấn công nhanh chóng khai thác các tin tức công nghệ nóng hổi. Nhà nghiên cứu cảnh báo nguy cơ xâm phạm cơ hội cao thông qua các kho lưu trữ bị tẩy xóa (trojanized repositories), đặc biệt là với các sản phẩm AI mới nổi. Người dùng cần kiểm tra danh sách các chỉ thị xâm phạm (IOCs) và cực kỳ cẩn trọng khi tải xuống bất kỳ thứ gì từ GitHub.