「流出したClaude Codeのソースコード」と謳うGitHubリポジトリがスティーラーを配布
The Register – Thu 2 Apr 2026
今週誤って流出したClaude Codeのソースコードを多数の人々がダウンロードする中、一部のダウンロードには認証情報を窃取するスティーラーマルウェアが付属していたという。
ZscalerのThreatLabzが公開したブログ記事によると、同チームの研究者はGitHubのモニタリング中に、インフォスティーラー「Vidar」を配布する悪意あるGitHubリポジトリを発見。「idbzoomh」によって公開されたこのリポジトリ「Claude Code leak」は、流出した同AIツールのコードをルアーとして利用し、人々を騙してVidarおよびプロキシマルウェアのGhostSocksを配布するものだったという。
このリポジトリのリリースセクションには「Claude Code – Leaked Source Code」と名付けられた.7zアーカイブが存在。これにはRustベースのドロッパー「ClaudeCode_x64.exe」が含まれており、このドロッパーが実行されるとユーザーのマシンにVidar v18.7およびGhostSocksが投下される。Vidarは、アカウント認証情報やクレジットカードデータ、ブラウザ履歴といった機微なデータを収集。一方GhostSocksは、感染したデバイスをプロキシインフラに変える役目を持つ。
ThreatLabzによれば、「leaked Claude Code」などのキーワードでGoogle検索を行うと、この悪意あるリポジトリへのリンクが一時的に上位に表示されていたとされる。The Registerの記事が公開された時点ではその状況は解消されたものの、idbzoomhが公開したトロイの木馬化されたClaude Codeのソースコードが流出したリポジトリのうち、少なくとも2つはGitHub上に残っており、そのうちの1つには793のフォークと564のスターが付いていたという。
3月にはAIエージェントプラットフォームOpenClawを同様のGitHubルアーとして使うマルウェアキャンペーンが報告されていたが、こうした事例を踏まえてThreatLabzは、話題性のある新たな製品やニュースイベントがいかにすばやくサイバー犯罪の道具として悪用され得るかが示されていると指摘。「流出したClaude Code」であると謳うGitHubリポジトリはどれもダウンロード・フォーク・ビルド・実行すべきではないと警告した。
ThreatLabzのブログ記事ではそのほかの推奨事項に加え、関連するIoCも提供されている。