2026年3月31日、Anthropic(アンスロピック)が提供するターミナルベースのAIコーディングエージェント「Claude Code」の完全なソースコードが、手違いによってnpm上に流出するインシデントが発生しました。
しかし脅威はそれだけにとどまりません。クラウドセキュリティ大手Zscalerの調査チーム「ThreatLabz」の最新レポートによると、この流出騒動に便乗し、「流出したClaude Codeのソースコード」を装ってGitHub上で情報窃取マルウェア(インフォスティーラー)を拡散する攻撃がすでに開始されています。
本記事では、Zscalerの調査レポートに基づき、Claude Code流出の経緯から、開発者を狙う偽リポジトリの巧妙な手口、そして私たちが取るべき対策を解説します。
【30秒でわかる本記事の概要】
事の発端: 2026年3月31日、パッケージ化のミスにより、Claude Codeの約51万行に及ぶTypeScriptのソースコードがnpmに誤って公開された。
便乗攻撃の発生: Zscalerが、GitHub上で「Claude Codeの流出コード」と偽り、マルウェアを配布する悪意あるリポジトリを発見した。
マルウェアの正体: 偽のZIPファイルにはRustベースのドロッパーが含まれており、実行すると情報窃取マルウェア「Vidar v18.7」および「GhostSocks」に感染する。
最悪のタイミング: 同じ3月31日に発生した「Axiosのサプライチェーン攻撃」と重なり、npmパッケージをアップデートする開発者にとって極めて危険な状況が生み出された。
1Claude Codeのソースコードはなぜ流出したのか?
Zscalerの報告によると、インシデントの発端はハッキングではなく「パッケージングの設定ミス」でした。
2026年3月31日、Anthropicが公開したnpmパッケージ @anthropic-ai/claude-code のバージョン 2.1.88 において、約59.8 MBものJavaScriptソースマップファイル(.map)が誤って同梱されていました。セキュリティ研究者のChaofan Shou氏(@Fried_rice)の指摘により、このマップファイル内に1,906個のファイル、約51万3,000行に及ぶ難読化されていないTypeScriptのソースコードが含まれていることが判明しました。
この原因は、実行環境として使用されていた「Bun」がデフォルトで完全なソースマップを生成する仕様であったこと、および .npmignore や package.json の設定で .map ファイルが適切に除外されていなかったことにあります。
攻撃の手口
Zscalerによると、攻撃者は idbzoomh というユーザー名のGitHubアカウントで、Claude Codeの流出ソースを装うリポジトリを公開していました。
READMEでは、流出したTypeScriptソースを再構築した実用版であるかのように見せかけたうえで、エンタープライズ機能が解除され、利用制限もないといった文言まで添えていました。興味本位で流出物を探す開発者にとって、極めて引っかかりやすい見せ方です。
さらに厄介なのは、この偽リポジトリが検索経由の流入まで意識して作られていたことです。
ThreatLabzは、このリポジトリが leaked Claude Code のような検索語でGoogle上位に表示されやすい状態だったと説明しています。
つまり攻撃者は、単にGitHubへ置いただけではなく、注目を集めたインシデントに便乗し、検索から見つけさせる流れまで組み立てていました。情シスの観点では、話題化したインシデントの直後に検索上位へ現れる便利そうなコードは、まず疑ってかかるべきだと分かります。
Axiosサプライチェーン攻撃と重なった「最悪のタイミング」
Zscalerのレポートは、このインシデントの「タイミングの悪さ」にも警鐘を鳴らしています。
Claude Codeの流出騒動が発生した3月31日は、偶然にもAxiosのnpmサプライチェーン攻撃(メンテナーのアカウント乗っ取りによるRATの混入)が発生した日と完全に一致していました。 世界中の開発者が、自身の環境のAxiosをアップデートしたり、依存関係を確認したりとパッケージ管理ツール(npm)を頻繁に操作していたまさにその日に、Claude Codeの騒動と偽のマルウェアリポジトリが重なったことで、開発者が攻撃の罠に落ちるリスクが飛躍的に高まる「パーフェクトストーム」が形成されました。
関連:JavaScript ライブラリ axiosのnpmが乗っ取られる-1.14.1と0.30.4は導入済みなら侵害前提で対応が必要
開発者・セキュリティ担当者が直ちに行うべき対策
Zscalerの調査が示す通り、脅威アクターは話題のインシデントを「開発者を釣るためのエサ」として即座に悪用します。以下の対策を徹底してください。
非公式なソースからコードをダウンロードしない: 「流出コード」や「リーク情報」を謳うGitHubリポジトリやフォーラムのリンクは、マルウェアの温床です。絶対にダウンロードや実行を行わないでください。
未知の実行ファイル(.exe)への警戒: ソースコードの確認であるはずなのに、.exe のような実行ファイルが含まれている場合は、100%マルウェアであると疑う必要があります。
開発環境の分離: 業務で使用する認証情報やソースコードが含まれるメイン端末で、出所不明なツールやコードをテストすることは避けてください。
よくある質問(FAQ)
Q. Claude Codeのソースコード流出はサイバー攻撃によるものですか?
A. いいえ、ハッキングなどのサイバー攻撃によるものではありません。開発環境として利用されていた「Bun」の仕様により、ソースマップファイル(.map)がデフォルトで生成され、それをnpmの公開リストから除外する設定(.npmignore など)が漏れていたという「人為的なパッケージングのミス」が原因です。
Q. 偽の流出コードリポジトリからダウンロードするとどうなりますか?
A. 偽リポジトリから「Claude Code – Leaked Source Code (.7z)」をダウンロードし、中にある実行ファイル(ClaudeCode_x64.exe)を開いてしまうと、情報窃取マルウェア「Vidar v18.7」と「GhostSocks」に感染します。これにより、PC上のパスワード、APIキー、セッションCookieなどが攻撃者のサーバーに送信されてしまいます。
Q. すでに該当のZIPファイルをダウンロードしてしまった場合はどうすればよいですか?
A. .exeファイルを実行していないのであれば、直ちにファイルを削除すれば問題ありません。もし実行してしまった場合はシステムが感染しているため、直ちにネットワークから切断し、該当PCに保存されていたすべてのパスワード、APIキー、クラウドサービスの認証情報を別の安全な端末から無効化・再発行(ローテーション)してください。
参照
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。
セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断 営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。