Door een
fout bij AI-bedrijf Anthropic is op 31 maart de volledige broncode van
Claude Code openbaar geworden. Onderzoek van het Zscaler ThreatLabz-team
laat zien dat cybercriminelen deze gelekte code inmiddels actief
misbruiken om malware te verspreiden.
Claude
Code gepubliceerd op openbare GitHub-repositories
De
gelekte data bestaat uit ongeveer 513.000 regels onversleutelde
TypeScript-code, verdeeld over 1.906 bestanden. De code verscheen binnen
enkele uren op openbare platformen zoals GitHub, waar deze zich snel
verspreidde via kopieën van de originele broncode (zogeheten forks).
Sommige versies verzamelden tienduizenden sterren en forks. Ondanks een
DCMA-melding (Digital Millennium Copyright Act) blijft de code
beschikbaar via honderden publieke repositories.
Mogelijke
impact voor organisaties
Volgens
de onderzoekers van Zscaler maken cybercriminelen direct gebruik van de
populariteit van het lek. Zij publiceren ogenschijnlijk legitieme versies
van de gelekte code, die in werkelijkheid malware bevatten. Belangrijke
risico’s zijn onder andere:
- Supply chain-aanvallen via kwaadaardige forks en
mirrors: Aanvallers verspreiden aangepaste versies van de broncode
via GitHub met verborgen malware. Nietsvermoedende gebruikers die
‘officieel ogende’ forks klonen, lopen het risico direct
gecompromitteerd te worden.
- Snellere exploitatie van kwetsbaarheden: Toegang
tot de broncode maakt het eenvoudiger om zwakke plekken te vinden en
deze te misbruiken.
- Risico’s in ontwikkelomgevingen: Ontwikkelaars
die (kwaadaardige) code lokaal uitvoeren, kunnen onbedoeld
schadelijke afhankelijkheden of scripts activeren.
Vidar
en GhostSocks maken al misbruik van ‘Claude Code leak’
Het
ThreatLabz-team trof onder meer een GitHub-repository aan onder de naam
‘Claude Code leak’. Deze repository lijkt zich voor te doen als gelekte
TypeScrips-broncode voor Anthropic’s Claude Code. In het README-bestand
wordt zelfs beweerd dat de code is herbouwd tot een werkende fork met
‘ontgrendelde’ bedrijfsfuncties en zonder berichtlimieten.
De link
naar de repository verschijnt bovenaan de Google-zoekresultaten voor
zoekopdrachten zoals ‘leaked Claude Code’, waardoor het voor
nieuwsgierige gebruikers gemakkelijk is om deze te vinden.
Het kwaadaardige ZIP-archief heet Claude Code - Leaked
Source Code (.7z). Bij uitvoering installeert de Vidar- en
GhostSocks-malware.
Vidar steelt informatie en
GhostSocks wordt gebruikt om netwerkverkeer te
proxyen. Begin maart meldde een andere
beveiligingsleverancier al een vergelijkbare
campagne waarbij GitHub werd gebruikt om dezelfde payload te
verspreiden.
Wat kunnen organisaties doen om zichzelf te beschermen?
Zscaler
adviseert organisaties om extra voorzichtig te zijn bij het gebruik van
de gelekte code en alleen te vertrouwen op officiële bronnen. Aanvullende
aanbevelingen zijn:
- Download of gebruik geen code die via
GitHub-repositories worden aangeboden als ‘gelekte Claude
Code’.
- Vermijd het uitvoeren van onbekende of
niet-geverifieerde AI-agents met toegang tot lokale systemen.
- Monitor ontwikkelomgevingen op afwijkend gedrag
of ongebruikelijke netwerkactiviteiten.
- Wacht met het gebruik van nieuwe of recent
bijgewerkte npm-pakketten tot deze voldoende zijn gevalideerd.
Zscaler
benadrukt verder dat de gelekte broncode géén open source is. De code
behoort nog altijd toe aan Anthropic en het is gevaarlijk om deze
ongewijzigd te gebruiken.
Lees hier de uitgebreide technische analyse van
hoe cybercriminelen de gelekte Claude Code misbruiken.
Over Zscaler
Zscaler
(NASDAQ: ZS) versnelt digitale transformatie en maakt klanten meer agile,
efficiënt, veerkrachtig en veilig. Het Zscaler Zero Trust Exchange
platform beschermt duizenden klanten van cyberaanvallen en dataverlies
door gebruikers, apparaten en applicaties veilig met elkaar te verbinden
vanaf elke locatie. Verdeeld over meer dan 150 datacenters wereldwijd is
de op SASE-gebaseerde Zero Trust Exchange het grootste in-line cloud
security-platform ter wereld.
Voor meer informatie
Zscaler
Jordy Loozekoot
E-mail:
jloozekoot@zscaler.com
Whizpr
Martine Korthals / Winnie Silvertand
E-mail:
zscaler@whizpr.nl