Pesquisadores da Zscaler descobriram repositórios fraudulentos no GitHub que estão otimizados para buscas, entregando o infostealer Vidar a usuários que buscam pelo código-fonte acidentalmente exposto pela Anthropic.
Cibercriminosos estão explorando repositórios fraudulentos no GitHub para disseminar malware entre aqueles que buscam o código-fonte vazado do Claude Code. De acordo com a Zscaler, esses agentes de ameaça utilizam o vazamento completo do código-fonte do Claude Code como isca para o infostealer Vidar.
No dia 31 de março, a Anthropic acidentalmente revelou o código-fonte completo do lado cliente do Claude Code. Um erro humano resultou na inclusão de um arquivo JavaScript de 59,8 MB no pacote npm da ferramenta.
O arquivo revelou 512 mil linhas de TypeScript não ofuscado, distribuídas em 1.906 arquivos. Isso permitiu que internautas tivessem acesso irrestrito à lógica de orquestração do agente, sistemas de permissões, detalhes de build e informações relacionadas à segurança, incluindo funcionalidades não documentadas publicamente.
O conteúdo foi rapidamente baixado por uma quantidade significativa de usuários, acumulando milhares de forks em poucos dias.
BTG Pactual sofre ataque cibernético e suspende operações Pix
Repositórios maliciosos aparecem no topo do Google
Com a crescente curiosidade sobre o vazamento, criminosos criaram repositórios no GitHub que são otimizados para mecanismos de busca.
Esses repositórios surgem entre os primeiros resultados do Google para termos como “leaked Claude Code”, direcionando usuários curiosos diretamente para o conteúdo malicioso.
Arquivo compactado entrega Vidar e GhostSocks
Usuários que acessam os repositórios acabam baixando um arquivo no formato 7-Zip que contém um executável denominado ClaudeCode_x64.exe, desenvolvido em Rust.
A Lei Felca pode bloquear o Linux no Brasil? — OPINIÃO
Ao ser executado, esse dropper implanta o Vidar, um infostealer disponível comercialmente como malware-as-a-service, em conjunto com o GhostSocks, uma ferramenta de proxy para redirecionamento de tráfego de rede.
Malware-as-a-service é um modelo de comercialização que funciona como um serviço de assinatura, onde criminosos pagam pelo uso da ferramenta de maneira mensal, anual ou vitalícia, facilitando o uso do malware mesmo para aqueles sem conhecimentos técnicos.
A Zscaler notou que o arquivo malicioso tem sido atualizado de forma regular, indicando que novas cargas podem ser adicionadas nas próximas versões da campanha.
Segundo repositório sugere experimentos com vetores de entrega
Os pesquisadores também encontraram um segundo repositório com código idêntico, que exibia um botão “Download ZIP” que, no entanto, não estava funcional durante a análise.
Por que o Android terá espera de 24h para instalar apps fora da Play Store?
A Zscaler considera que o repositório está sob o controle do mesmo agente de ameaça, que provavelmente está testando diferentes métodos de distribuição. Apesar dos sistemas de defesa do GitHub, a plataforma tem sido utilizada para espalhar cargas maliciosas disfarçadas como ferramentas legítimas.
Tática recorrente em eventos de alta repercussão
Essa estratégia não é nova. No segundo semestre de 2025, agentes de ameaça exploraram repositórios fictícios para visar pesquisadores e cibercriminosos iniciantes com falsos exploits de prova de conceito para vulnerabilidades recentemente divulgadas.
Nesses casos, quanto maior a repercussão de um evento no setor de segurança, maior o interesse dos criminosos em realizar ataques oportunistas contra usuários que buscam informação sobre o incidente.
Fique por dentro das últimas notícias de segurança e tecnologia seguindo a TecMania nas redes sociais e inscrevendo-se em nossa newsletter e canal do YouTube.
