Esta semana, o código-fonte do serviço Claude Code da Anthropic vazou — a empresa tomou precauções para protegê-lo, mas golpistas exploraram o escândalo e, em alguns casos, usuários curiosos receberam não o valioso produto, mas uma falsificação contendo malware.
Fonte da imagem: Kevin Horvat / unsplash.com
O exemplo mais notório foi um repositório do GitHub contendo o malware Vidar, que rouba credenciais, dados de cartões bancários e histórico de navegação, e o Trojan GhostSocks, usado para intermediar tráfego de rede. “O arquivo README afirma que o código foi exposto por meio de um arquivo .MAP em um pacote NPM e, em seguida, recompilado em um fork funcional com recursos corporativos ‘desbloqueados’ e requisições ilimitadas”, observaram especialistas em cibersegurança da equipe ThreatLabz da Zscaler.
Um link para este repositório do GitHub apareceu no topo dos resultados de busca do Google. O projeto desapareceu posteriormente, mas pelo menos dois outros projetos maliciosos com Trojans se passando pelo código-fonte do Claude Code permaneceram na plataforma, um dos quais tinha 793 forks e 564 estrelas. Em um dos casos, um dropper de malware escrito em Rust foi descompactado de um arquivo .7Z, que também baixou o Vidar e o GhostSocks para o computador da vítima.
Este incidente demonstra, mais uma vez, que os cibercriminosos frequentemente tentam lucrar com produtos de grande visibilidade, criando clones maliciosos com diferentes graus de semelhança. Recomenda-se cautela ao baixar qualquer coisa da internet.