Claude Code Source Leak ถูกใช้เป็นเหยื่อล่อแพร่กระจาย Infostealer Malware บน GitHub
หลัง Anthropic หลุด Source Code ของ Claude Code โดยไม่ตั้งใจ แฮกเกอร์รีบสร้าง GitHub Repository ปลอม หลอกให้ดาวน์โหลดไฟล์ที่ซ่อน Vidar Infostealer และ GhostSocks ระวังอย่าหลงเชื่อ!"
Key takeaway
- Anthropic รั่วไหล source code ของ Claude Code โดยไม่ตั้งใจผ่าน JavaScript source map ขนาด 59.8 MB ที่ถูกรวมเข้าไปใน npm package ผิดพลาด เปิดเผย TypeScript กว่า 513,000 บรรทัดรวมถึง security internals และ hidden features ของ agent
- Threat actor ฉวยโอกาสสร้าง malicious GitHub repository ที่ทำ SEO ให้ติดอันดับต้นๆ บน Google สำหรับ query "leaked Claude Code" เพื่อหลอกให้เหยื่อดาวน์โหลด archive ที่ฝัง Vidar infostealer และ GhostSocks proxy tool โดย archive ดังกล่าวยังมีการอัปเดต payload อย่างต่อเนื่อง
- GitHub ยังคงเป็นช่องทางแพร่กระจาย malicious payload ที่ได้ผล เนื่องจาก threat actors มักใช้กลยุทธ์ opportunistic attack โดยอาศัยเหตุการณ์ที่ได้รับความสนใจสูง เช่น source code leak หรือ PoC exploits เพื่อล่อเหยื่อที่ขาดความระมัดระวัง
Claude Code คือ terminal-based AI agent จาก Anthropic ที่ออกแบบมาเพื่อรันคำสั่ง coding โดยตรงใน terminal โดยทำงานในฐานะ autonomous agent ที่สามารถโต้ตอบกับระบบได้โดยตรง รองรับการจัดการ LLM API call, MCP integration และมีระบบ persistent memory
เมื่อวันที่ 31 มีนาคมที่ผ่านมา Anthropic เผยแพร่ source code ฝั่ง client-side ของเครื่องมือดังกล่าวออกสู่สาธารณะโดยไม่ตั้งใจ ผ่าน JavaScript source map ขนาด 59.8 MB ที่ถูกรวมเข้าไปใน npm package โดยผิดพลาด
source code ที่รั่วไหลออกมาประกอบด้วย unobfuscated TypeScript กว่า 513,000 บรรทัดใน 1,906 ไฟล์ ซึ่งเปิดเผยทั้ง orchestration logic, ระบบ permissions และ execution systems, hidden features, รายละเอียดการ build รวมถึง security-related internals ของ agent ดังกล่าว
หลังจากการรั่วไหล ผู้ใช้จำนวนมากได้รีบดาวน์โหลด source code ชุดดังกล่าว และนำไป publish บน GitHub จนถูก fork ไปแล้วหลายพันครั้งในเวลาอันสั้น
Threat Actor ฉวยโอกาสแพร่กระจาย Vidar Infostealer
จากรายงานของบริษัท cloud security อย่าง Zscaler พบว่าเหตุการณ์รั่วไหลครั้งนี้ได้กลายเป็นโอกาสให้ threat actors ใช้เป็นช่องทางแพร่กระจาย Vidar infostealer ไปยังผู้ใช้ที่กำลังค้นหาข้อมูลเกี่ยวกับ Claude Code leak โดยเฉพาะ
นักวิจัยพบ malicious GitHub repository ที่ publish โดยผู้ใช้ชื่อ "idbzoomh" ซึ่งโพสต์ fake leak พร้อมอ้างว่าสามารถ "ปลดล็อก enterprise features" และยกเลิก usage restrictions ทั้งหมดได้
ยิ่งไปกว่านั้น repository ดังกล่าวยังถูก optimize สำหรับ search engine จนติดอันดับต้นๆ บน Google Search สำหรับ query อย่าง "leaked Claude Code" เพื่อดึงดูดผู้ใช้ที่กำลังค้นหาข้อมูลให้คลิกเข้ามามากที่สุด
กลไกการโจมตีและ Payload
ผู้ใช้ที่หลงเชื่อและดาวน์โหลด 7-Zip archive จะพบ Rust-based executable ชื่อ ClaudeCode_x64.exe ซึ่งเมื่อถูกเรียกใช้งาน dropper จะทำการ deploy มัลแวร์ 2 ตัว ได้แก่
- Vidar — commodity information stealer
- GhostSocks — network traffic proxying tool
Zscaler ยังพบอีกว่า malicious archive ดังกล่าวมีการอัปเดตอยู่อย่างสม่ำเสมอ ซึ่งบ่งชี้ว่าอาจมีการเพิ่ม payload ชนิดอื่นเข้ามาใน iteration ถัดๆ ไป
นอกจากนี้ นักวิจัยยังตรวจพบ GitHub repository ที่สอง ซึ่งมี code ในลักษณะเดียวกัน แต่แสดงปุ่ม 'Download ZIP' ที่ยังไม่สามารถใช้งานได้ในขณะที่ทำการวิเคราะห์ Zscaler ประเมินว่า repository ดังกล่าวดำเนินการโดย threat actor รายเดียวกัน และน่าจะอยู่ระหว่างการทดสอบ delivery strategy ในรูปแบบต่างๆ
GitHub ยังคงถูกใช้เป็นช่องทางแพร่กระจาย Malicious Payload
แม้ GitHub จะมีระบบป้องกันอยู่แล้ว แต่แพลตฟอร์มดังกล่าวก็ยังคงถูกใช้เป็นช่องทางแพร่กระจาย malicious payloads ในรูปแบบต่างๆ อย่างต่อเนื่อง
ในช่วงปลายปี 2025 threat actors เคยมุ่งเป้าโจมตีนักวิจัยหน้าใหม่และ cybercriminals ด้วย repository ที่อ้างว่าเป็น proof-of-concept (PoC) exploits สำหรับ vulnerabilities ที่เพิ่งถูกเปิดเผย ซึ่งสะท้อนให้เห็นถึงพฤติกรรมที่ผู้โจมตีมักฉวยโอกาสจากเหตุการณ์ที่ได้รับความสนใจอย่างกว้างขวาง เพื่อหวังผล opportunistic compromise จากเหยื่อที่ขาดความระมัดระวัง
Why it matters
💡 นักพัฒนาและผู้เชี่ยวชาญด้าน IT ควรอ่านข่าวนี้อย่างเร่งด่วน เนื่องจากเหตุการณ์ที่ source code ของ Claude Code รั่วไหลออกสู่สาธารณะได้ถูก threat actors ฉวยโอกาสสร้าง malicious repository บน GitHub เพื่อแพร่กระจาย Vidar Infostealer และ GhostSocks ไปยังผู้ที่กำลังค้นหาข้อมูลโดยเฉพาะ สิ่งที่น่ากังวลคือ repository ปลอมเหล่านี้ยังถูก optimize จนติดอันดับต้นๆ บน Google Search ซึ่งแสดงให้เห็นว่า GitHub ยังคงเป็นช่องทางแพร่กระจาย malware ที่อันตรายและต้องระวังอย่างยิ่ง
ข้อมูลอ้างอิงจาก https://www.bleepingcomputer.com/news/security/claude-code-leak-used-to-push-infostealer-malware-on-github/
