news

Claude Code Source Leak ถูกใช้เป็นเหยื่อล่อแพร่กระจาย Infostealer Malware บน GitHub

หลัง Anthropic หลุด Source Code ของ Claude Code โดยไม่ตั้งใจ แฮกเกอร์รีบสร้าง GitHub Repository ปลอม หลอกให้ดาวน์โหลดไฟล์ที่ซ่อน Vidar Infostealer และ GhostSocks ระวังอย่าหลงเชื่อ!"

Prompt Expert

Prompt Expert

1 min read
Claude Code Source Leak ถูกใช้เป็นเหยื่อล่อแพร่กระจาย Infostealer Malware บน GitHub

Key takeaway

  • Anthropic รั่วไหล source code ของ Claude Code โดยไม่ตั้งใจผ่าน JavaScript source map ขนาด 59.8 MB ที่ถูกรวมเข้าไปใน npm package ผิดพลาด เปิดเผย TypeScript กว่า 513,000 บรรทัดรวมถึง security internals และ hidden features ของ agent
  • Threat actor ฉวยโอกาสสร้าง malicious GitHub repository ที่ทำ SEO ให้ติดอันดับต้นๆ บน Google สำหรับ query "leaked Claude Code" เพื่อหลอกให้เหยื่อดาวน์โหลด archive ที่ฝัง Vidar infostealer และ GhostSocks proxy tool โดย archive ดังกล่าวยังมีการอัปเดต payload อย่างต่อเนื่อง
  • GitHub ยังคงเป็นช่องทางแพร่กระจาย malicious payload ที่ได้ผล เนื่องจาก threat actors มักใช้กลยุทธ์ opportunistic attack โดยอาศัยเหตุการณ์ที่ได้รับความสนใจสูง เช่น source code leak หรือ PoC exploits เพื่อล่อเหยื่อที่ขาดความระมัดระวัง

Claude Code คือ terminal-based AI agent จาก Anthropic ที่ออกแบบมาเพื่อรันคำสั่ง coding โดยตรงใน terminal โดยทำงานในฐานะ autonomous agent ที่สามารถโต้ตอบกับระบบได้โดยตรง รองรับการจัดการ LLM API call, MCP integration และมีระบบ persistent memory

เมื่อวันที่ 31 มีนาคมที่ผ่านมา Anthropic เผยแพร่ source code ฝั่ง client-side ของเครื่องมือดังกล่าวออกสู่สาธารณะโดยไม่ตั้งใจ ผ่าน JavaScript source map ขนาด 59.8 MB ที่ถูกรวมเข้าไปใน npm package โดยผิดพลาด

source code ที่รั่วไหลออกมาประกอบด้วย unobfuscated TypeScript กว่า 513,000 บรรทัดใน 1,906 ไฟล์ ซึ่งเปิดเผยทั้ง orchestration logic, ระบบ permissions และ execution systems, hidden features, รายละเอียดการ build รวมถึง security-related internals ของ agent ดังกล่าว

หลังจากการรั่วไหล ผู้ใช้จำนวนมากได้รีบดาวน์โหลด source code ชุดดังกล่าว และนำไป publish บน GitHub จนถูก fork ไปแล้วหลายพันครั้งในเวลาอันสั้น

Threat Actor ฉวยโอกาสแพร่กระจาย Vidar Infostealer

จากรายงานของบริษัท cloud security อย่าง Zscaler พบว่าเหตุการณ์รั่วไหลครั้งนี้ได้กลายเป็นโอกาสให้ threat actors ใช้เป็นช่องทางแพร่กระจาย Vidar infostealer ไปยังผู้ใช้ที่กำลังค้นหาข้อมูลเกี่ยวกับ Claude Code leak โดยเฉพาะ

นักวิจัยพบ malicious GitHub repository ที่ publish โดยผู้ใช้ชื่อ "idbzoomh" ซึ่งโพสต์ fake leak พร้อมอ้างว่าสามารถ "ปลดล็อก enterprise features" และยกเลิก usage restrictions ทั้งหมดได้

ยิ่งไปกว่านั้น repository ดังกล่าวยังถูก optimize สำหรับ search engine จนติดอันดับต้นๆ บน Google Search สำหรับ query อย่าง "leaked Claude Code" เพื่อดึงดูดผู้ใช้ที่กำลังค้นหาข้อมูลให้คลิกเข้ามามากที่สุด

กลไกการโจมตีและ Payload

ผู้ใช้ที่หลงเชื่อและดาวน์โหลด 7-Zip archive จะพบ Rust-based executable ชื่อ ClaudeCode_x64.exe ซึ่งเมื่อถูกเรียกใช้งาน dropper จะทำการ deploy มัลแวร์ 2 ตัว ได้แก่

  • Vidar — commodity information stealer
  • GhostSocks — network traffic proxying tool

Zscaler ยังพบอีกว่า malicious archive ดังกล่าวมีการอัปเดตอยู่อย่างสม่ำเสมอ ซึ่งบ่งชี้ว่าอาจมีการเพิ่ม payload ชนิดอื่นเข้ามาใน iteration ถัดๆ ไป

นอกจากนี้ นักวิจัยยังตรวจพบ GitHub repository ที่สอง ซึ่งมี code ในลักษณะเดียวกัน แต่แสดงปุ่ม 'Download ZIP' ที่ยังไม่สามารถใช้งานได้ในขณะที่ทำการวิเคราะห์ Zscaler ประเมินว่า repository ดังกล่าวดำเนินการโดย threat actor รายเดียวกัน และน่าจะอยู่ระหว่างการทดสอบ delivery strategy ในรูปแบบต่างๆ

GitHub ยังคงถูกใช้เป็นช่องทางแพร่กระจาย Malicious Payload

แม้ GitHub จะมีระบบป้องกันอยู่แล้ว แต่แพลตฟอร์มดังกล่าวก็ยังคงถูกใช้เป็นช่องทางแพร่กระจาย malicious payloads ในรูปแบบต่างๆ อย่างต่อเนื่อง

ในช่วงปลายปี 2025 threat actors เคยมุ่งเป้าโจมตีนักวิจัยหน้าใหม่และ cybercriminals ด้วย repository ที่อ้างว่าเป็น proof-of-concept (PoC) exploits สำหรับ vulnerabilities ที่เพิ่งถูกเปิดเผย ซึ่งสะท้อนให้เห็นถึงพฤติกรรมที่ผู้โจมตีมักฉวยโอกาสจากเหตุการณ์ที่ได้รับความสนใจอย่างกว้างขวาง เพื่อหวังผล opportunistic compromise จากเหยื่อที่ขาดความระมัดระวัง

Why it matters

💡 นักพัฒนาและผู้เชี่ยวชาญด้าน IT ควรอ่านข่าวนี้อย่างเร่งด่วน เนื่องจากเหตุการณ์ที่ source code ของ Claude Code รั่วไหลออกสู่สาธารณะได้ถูก threat actors ฉวยโอกาสสร้าง malicious repository บน GitHub เพื่อแพร่กระจาย Vidar Infostealer และ GhostSocks ไปยังผู้ที่กำลังค้นหาข้อมูลโดยเฉพาะ สิ่งที่น่ากังวลคือ repository ปลอมเหล่านี้ยังถูก optimize จนติดอันดับต้นๆ บน Google Search ซึ่งแสดงให้เห็นว่า GitHub ยังคงเป็นช่องทางแพร่กระจาย malware ที่อันตรายและต้องระวังอย่างยิ่ง

ข้อมูลอ้างอิงจาก https://www.bleepingcomputer.com/news/security/claude-code-leak-used-to-push-infostealer-malware-on-github/

Read more

Canon มองว่า AI คือกุญแจสำคัญในการพัฒนาเทคโนโลยีกล้องยุคใหม่

news

Canon มองว่า AI คือกุญแจสำคัญในการพัฒนาเทคโนโลยีกล้องยุคใหม่

Canon เปิดวิสัยทัศน์ที่งาน CP+ 2025 ว่า AI และ Deep Learning จะเป็นแรงขับเคลื่อนสำคัญของวงการกล้อง ครอบคลุมตั้งแต่ Autofocus, Noise Reduction ไปจนถึง Image Processing ยุคใหม่

By
AI ควบคุมการจราจรหุ่นยนต์ในคลังสินค้าอัตโนมัติ เพิ่ม Throughput ได้สูงถึง 25%

news

AI ควบคุมการจราจรหุ่นยนต์ในคลังสินค้าอัตโนมัติ เพิ่ม Throughput ได้สูงถึง 25%

MIT ร่วมกับ Symbotic พัฒนาระบบ AI แบบ Hybrid ใช้ Deep Reinforcement Learning ควบคุมการจราจรหุ่นยนต์ในคลังสินค้าอัตโนมัติ เพิ่ม Throughput ได้สูงถึง 25% และรองรับความซับซ้อนที่เพิ่มขึ้นแบบ Real-time

By
Pluralsight เปิดตัว AI Sandbox, Guided Learning และ Enterprise Integrations ใหม่ เพื่อเสริมทักษะเทคโนโลยีให้พร้อมใช้งานจริง

news

Pluralsight เปิดตัว AI Sandbox, Guided Learning และ Enterprise Integrations ใหม่ เพื่อเสริมทักษะเทคโนโลยีให้พร้อมใช้งานจริง

Pluralsight เปิดตัวฟีเจอร์ใหม่บน Platform ครอบคลุม AI Prompt Sandbox, Iris Guided Learning และการเชื่อมต่อเชิงลึกกับระบบ Enterprise อย่าง Workday, Cornerstone และ SuccessFactors เพื่อฝัง Skill Development เข้าสู่การทำงานจริง

By
CIO กังวลความเสี่ยงด้านความปลอดภัยพุ่งสูง ท่ามกลางกระแสการนำ AI มาใช้งานในองค์กร

news

CIO กังวลความเสี่ยงด้านความปลอดภัยพุ่งสูง ท่ามกลางกระแสการนำ AI มาใช้งานในองค์กร

รายงาน Logicalis เผย 57% ของ CIO ทั่วโลกกังวลพนักงานใช้ AI สร้างความเสี่ยงด้าน Data Security ขณะที่ 94% ระบุองค์กรขาดแคลน Cybersecurity Skills และมีเพียง 37% ที่มี Visibility ติดตามการใช้งาน AI ในองค์กรได้จริง

By