Vazamento do Claude Code é explorado para distribuir infostealer no GitHub

Ameaças cibernéticas estão explorando o vazamento acidental do código-fonte do Claude Code para publicar repositórios maliciosos no GitHub que distribuem o infostealer Vidar. Os repositórios se passam por vazamentos "com features enterprise" do Claude Code, oferecendo um executável Rust que, ao ser baixado e executado, instala malware e um proxy de tráfego para roubo de dados. A campanha tenta enganar desenvolvedores e curiosos que buscam o código vazado da ferramenta da Anthropic.

Táticas de engenharia social

Os atacantes criam repositórios com nomes e descrições sugerindo que contêm o código-fonte "completo" ou "enterprise" do Claude Code, aproveitando o interesse gerado pelo vazamento. O repositório principal inclui um executável Rust chamado claude_code_installer ou similar, que na verdade é um dropper do Vidar. Esse malware é projetado para coletar informações sensíveis do sistema infectado, como credenciais de navegador, cookies, carteiras de criptomoedas e arquivos específicos, enviando-os para servidores controlados pelos criminosos.

Características do malware Vidar

O Vidar é um infostealer conhecido no submundo do cibercrime, frequentemente vendido como serviço (MaaS). Sua versão distribuída via esta campanha também instala um proxy de tráfego (como o Socks5), permitindo que os atacantes redirecionem o tráfego da vítima através de seu computador, ocultando suas próprias atividades maliciosas e potencialmente usando a máquina infectada como ponto de entrada para outros ataques. O uso de Rust para o dropper dificulta a análise estática e pode enganar scanners de segurança menos sofisticados.

Riscos principais para quem baixar o arquivo:

• ▶Roubo de credenciais de navegadores e aplicativos
• ▶Exfiltração de cookies de sessão ativa
• ▶Coleta de carteiras de criptomoedas e chaves privadas
• ▶Instalação de proxy para uso em atividades ilícitas
• ▶Potencial acesso persistente ao sistema

A campanha ilustra um padrão perigoso: vazamentos de código-fonte de software popular são rapidamente instrumentalizados por cibercriminosos para distribuir malware. A curiosidade ou a busca por "ferramentas grátis" leva desenvolvedores a baixar e executar código não verificado de fontes duvidosas, mesmo em repositórios que parecem legítimos como o GitHub.

Para se proteger, é crucial baixar código apenas de fontes oficiais e verificar assinaturas digitais quando disponíveis. No caso do Claude Code, a Anthropic não distribui o código-fonte vazado publicamente; qualquer repositório alegando conter o código completo deve ser tratado como suspeito. A comunidade de segurança recomenda inspecionar repositórios, checar commits e forks, e nunca executar binários não assinados de fontes não confiáveis.

Este incidente reforça a necessidade de higiene digital rigorosa mesmo para ferramentas de desenvolvimento. O ataque não explora uma vulnerabilidade no Claude Code em si, mas na confiança e na pressa dos usuários. A lição é que vazamentos de código criam um ecossistema fértil para golpes de engenharia social, e a cautela deve ser redobrada quando se busca software de alto perfil que vazou.