Lažni Claude Code repozitorijumi šire Vidar i GhostSocks malware
Napadači koriste veliko interesovanje za procureli izvorni kod Anthropic Claude Code alata da preko lažnih GitHub repozitorijuma namame programere na preuzimanje zaraženih arhiva. U opisanom slučaju, arhiva pod nazivom "Claude Code - Leaked Source Code.7z" sadrži Rust dropper koji pokreće Vidar stealer i GhostSocks proxy malware. Priča se nadovezuje na ranije curenje source map fajla iz npm paketa, posle čega su se po GitHubu pojavili brojni mirror i fork repozitorijumi.
Za firme je nezgodno to što ovde meta nisu široke mase, nego developeri i njihove radne stanice, koje često imaju pristup repozitorijumima, tokenima, cloud okruženjima i internim alatima. Dovoljno je da neko iz radoznalosti pokrene lažni build ili arhivu, pa da problem iz jedne mašine pređe u širi razvojni i poslovni sistem.
- Zabraniti preuzimanje i pokretanje nezvaničnih Claude Code forkova, arhiva i binara
- Proveriti da li su developerske mašine poslednjih dana preuzimale sumnjive 7z, zip ili exe fajlove sa GitHuba
- Resetovati pristupne tokene, API ključeve i lozinke ako postoji sumnja da je neka radna stanica kompromitovana
- Pratiti neuobičajene izlazne konekcije i procese na developerskim računarima
- Dozvoljavati upotrebu samo zvaničnih paketa i proverenih binarnih fajlova od proizvođača