【安全资讯】利用信任信号：Claude Code源码泄露事件被用于传播恶意软件

概要：

在人工智能工具日益普及的背景下，一次看似简单的配置错误却演变成了一场波及全球的网络安全事件。2026年3月底，人工智能公司Anthropic因npm包配置失误，意外泄露了其Claude Code工具的约51.2万行内部TypeScript源代码。这一事件不仅暴露了前沿AI公司的核心代码，更在24小时内被威胁行为者迅速利用，通过伪造的GitHub仓库分发信息窃取木马，凸显了人为失误与组织流程漏洞在安全事件中的关键作用。

主要内容：

此次安全事件始于Anthropic在发布@anthropic-ai/claude-code的npm包（版本2.1.88）时，不慎包含了一个本不应发布的59.8 MB JavaScript源映射文件（cli.js.map）。该文件暴露了完整的原始TypeScript源代码树。这并非一次复杂的技术入侵，而纯粹是打包过程中.npmignore文件未能排除.map文件所致。源代码泄露后，迅速在数千个GitHub仓库中被镜像传播。

威胁行为者迅速利用了公众对此次泄露事件的关注。在泄露发生后的24小时内，他们创建了虚假的GitHub仓库，伪装成“泄露的Claude Code”下载源，分发恶意软件。这实际上是自2026年2月以来持续进行的一场“轮换诱饵”行动的一部分。该行动冒充超过25个软件品牌（包括AI工具、加密货币交易软件、创意媒体工具等），但最终都交付相同的Rust编译的dropper程序——TradeAI.exe。该程序会部署Vidar窃密木马（v18.7）和GhostSocks代理恶意软件。

感染链条高度一致：受害者搜索热门工具（如“leaked Claude Code source”）并访问虚假GitHub仓库；下载一个78-167 MB的7z压缩包；执行其中的dropper程序（如ClaudeCode_x64.exe）。该dropper采用Rust编译，内置反分析检查（如检测虚拟机、沙箱、调试器），并使用XOR加密字符串隐藏C&C地址。它最终会窃取浏览器凭证、加密货币钱包、会话令牌等数据，并通过GhostSocks将受害主机变为代理节点。

泄露的源代码本身也带来了长期风险，包括可能被用于漏洞挖掘、针对其提示架构设计注入攻击，以及分析其“智能体系统”的攻击面。此次事件表明，安全威胁不仅源于软件漏洞，更常由人为因素和组织控制缺口催化，在自主AI代理日益普及的背景下，治理将成为关键的控制平面。