Falso Claude Code distribuye malware en GitHub tras descuido

Falso Claude Code distribuye malware en GitHub tras descuido

Repositorios falsos de Claude Code en GitHub distribuyen malware para robar credenciales tras filtración de Anthropic.

Por Humberto Toledo el 3 abril, 2026 a las 21:08 PDT

Seguir en

Resume con:

✨︎ Resumen (TL;DR):

  • Ciberdelincuentes crearon repositorios falsos en GitHub simulando ser el código filtrado de Claude Code.
  • Un ejecutable camuflado instala las herramientas maliciosas Vidar v18.7 y GhostSocks para robar credenciales.
  • La filtración original expuso 513,000 líneas de código, obligando a Anthropic a emitir 8,000 reclamos DMCA.

El 31 de marzo, Anthropic expuso por accidente el código fuente de Claude Code. Ciberdelincuentes aprovecharon esta brecha de inmediato para crear repositorios falsos en GitHub que infectan las computadoras de desarrolladores con malware para robar credenciales.

El incidente comenzó cuando un paquete público de npm, en su versión 2.1.88, incluyó por error un mapa de código fuente en TypeScript de 59.8 MB. El investigador de seguridad Chaofan Shou divulgó el problema en X, lo que detonó miles de forks del proyecto.

Claude Code es un agente de programación de IA basado en terminal que ayuda a los desarrolladores a construir software. Anthropic confirmó que la exposición fue resultado de un “error humano, no una brecha de seguridad” y procedió a enviar más de 8,000 avisos DMCA para limpiar GitHub.

Irán amenaza a Google, Apple y Nvidia tras ataques B-52
Te podría interesar:
Irán amenaza a Google, Apple y Nvidia tras ataques B-52
Caña de pescar atrapando datos como tarjetas y llaves de una red de código, representando un ataque de malware.
Caña de pescar atrapando datos como tarjetas y llaves de una red de código, representando un ataque de malware.

Repositorios trampa y robo de credenciales

La firma Zscaler ThreatLabz detectó que la cuenta “idbzoomh” publicó una supuesta copia de la filtración prometiendo funciones empresariales desbloqueadas. Este repositorio logró colarse en los primeros resultados de búsqueda de Google.

Los desarrolladores que bajan el archivo .7z malicioso terminan corriendo un dropper programado en Rust llamado ClaudeCode_x64.exe. Esto instala simultáneamente:

  • Vidar v18.7: Un infostealer que extrae usuarios, contraseñas, tarjetas de crédito y billeteras de criptomonedas del navegador.
  • GhostSocks: Un proxy que convierte la PC infectada en infraestructura para esconder tráfico criminal.

El descuido original dejó expuestas 513,000 líneas de código sin ofuscar distribuidas en 1,906 archivos. Los intrusos pudieron revisar diseños de APIs internas y 44 funciones ocultas, aunque no tuvieron acceso a los pesos del modelo ni a datos de usuarios.

Zscaler advierte que los responsables actualizan el archivo malicioso a cada rato, manteniendo la campaña viva y lista para añadir nuevas cargas útiles. La inmensa cantidad de copias que rondan en la red crea un campo minado ideal para futuros ataques a la cadena de suministro.

Fuentes: 1, 2, 3, 4

+ Temas Relacionados

Más de AI

Últimas noticias

Ver más noticias