-
09/04/2020
-
128
-
1.769 bài viết
Claude Code bị rò rỉ, tin tặc lợi dụng phát tán mã độc đánh cắp thông tin
Một sự cố bất ngờ từ Anthropic đã làm lộ toàn bộ mã nguồn Claude Code, mở ra cơ hội cho các chiến dịch phát tán phần mềm độc hại. Những lập trình viên tò mò tải bản leak không chỉ tiếp cận các chi tiết kỹ thuật nhạy cảm mà còn đối mặt với nguy cơ bị nhiễm phần mềm độc hại tinh vi, được ngụy trang dưới các kho GitHub giả mạo.
Sự việc bắt đầu từ ngày 31/3, khi “ông lớn” AI này vô tình công khai toàn bộ mã nguồn phía client của Claude Code – công cụ đại lý AI chạy trực tiếp trên terminal đang rất được săn đón. Thay vì bảo mật kỹ lưỡng, một tệp source map JavaScript nặng gần 60 MB đã bị đóng gói nhầm vào bản phát hành trên npm, phơi bày hơn 513.000 dòng mã TypeScript nguyên bản của 1.906 tệp tin.
Dữ liệu rò rỉ không chỉ là các đoạn mã thông thường mà còn tiết lộ toàn bộ logic điều phối, cơ chế phân quyền, các tính năng ẩn và hệ thống thực thi nội bộ của Claude Code. Ngay lập tức, giới công nghệ đổ xô đi tìm kiếm và sao chép kho “báu vật” này, khiến mã nguồn lan truyền nhanh chóng trên hàng nghìn kho lưu trữ GitHub. Tuy nhiên, chính sự tò mò này đã tạo điều kiện cho tin tặc giăng bẫy người dùng bằng những bản “leak” giả mạo.
Kho lưu trữ GitHub phát tán phần mềm độc hại
Theo báo cáo từ công ty bảo mật đám mây Zscaler, một tài khoản GitHub tên “idbzoomh” đã đăng tải kho mã nguồn giả nhưng quảng bá hấp dẫn là phiên bản “mở khóa tính năng doanh nghiệp” và “không giới hạn sử dụng”. Để thu hút tối đa nạn nhân, tin tặc còn tối ưu hóa kho này để xuất hiện top đầu Google khi người dùng tìm kiếm từ khóa về Claude Code bị rò rỉ.
Kết quả tìm kiếm dẫn tới kho GitHub độc hại
Khi truy cập các kho giả mạo, người dùng dễ dàng bị dẫn tới tải một tệp nén 7-Zip. Bên trong chứa ClaudeCode_x64.exe, một tệp thực thi viết bằng Rust. Nếu kích hoạt, chương trình sẽ âm thầm cài Vidar - phần mềm độc hại đánh cắp thông tin cá nhân, đồng thời triển khai GhostSocks, công cụ thiết lập proxy để điều hướng lưu lượng mạng trái phép. Zscaler ghi nhận tệp nén này thường xuyên được cập nhật, thay đổi phương thức lây nhiễm và tránh bị phát hiện bởi phần mềm diệt virus.
Kho GitHub thứ hai bị nghi do cùng nhóm tin tặc vận hành
Các chuyên gia cũng phát hiện nhiều kho GitHub khác có hành vi tương tự, cho thấy đây là một chiến dịch quy mô, thử nghiệm nhiều chiến thuật phân phối khác nhau. Trên thực tế, việc biến kho lưu trữ mã nguồn mở thành nơi chứa phần mềm độc hại núp bóng PoC hoặc công cụ bẻ khóa không còn xa lạ. Lịch sử cho thấy tin tặc luôn nhanh chóng tận dụng các sự kiện công khai để kiếm lợi. Vụ rò rỉ Claude Code là minh chứng mới nhất.
Theo Bleeping Computer