Pesquisadores da Zscaler descobriram repositórios fraudulentos no GitHub que facilitam a disseminação do infostealer Vidar, aproveitando-se da busca por código-fonte acidentalmente vazado pela Anthropic.
Criminosos cibernéticos têm utilizado repositórios falsos no GitHub para propagar malware entre usuários que buscam o código-fonte do Claude Code, que teve seu vazamento recentementerevelado. De acordo com a Zscaler, os atacantes estão explorando o vazamento do código-fonte completo como uma isca para o infostealer Vidar.
No dia 31 de março, a Anthropic revelou inadvertidamente o código-fonte completo do lado cliente do seu software Claude Code. Um engano cometido por um funcionário resultou na inclusão de um mapa fonte JavaScript de 59,8 MB em seu pacote npm.
O arquivamento revelou 512 mil linhas de TypeScript não ofuscadas, distribuídas em 1.906 arquivos, proporcionando acesso irrestrito à lógica de operação do agente, sistemas de permissões, detalhes de compilação e aspectos internos relacionados à segurança. O vazamento também mostrou funcionalidades que não eram publicamente documentadas.
Rapidamente, o conteúdo foi baixado por um grande número de usuários e replicado no GitHub, acumulando milhares de forks em poucos dias.
Repositórios maliciosos aparecem no topo do Google
Com o aumento do interesse no vazamento, criminosos criaram repositórios no GitHub otimizados para mecanismos de busca.
Esses repositórios estão entre os primeiros resultados do Google para termos como “leaked Claude Code”, direcionando usuários curiosos diretamente para conteúdo malicioso.
Arquivo compactado entrega Vidar e GhostSocks
Usuários que acessam os repositórios são levados a baixar um arquivo compactado no formato 7-Zip que contém um executável denominado ClaudeCode_x64.exe, desenvolvido em Rust.
Ao ser executado, o dropper implanta o Vidar, um infostealer que é comercializado como malware-as-a-service, acompanhado do GhostSocks, uma ferramenta de proxy para o roteamento do tráfego de rede.
O malware-as-a-service é uma forma de comercialização que lembra serviços de streaming, onde os criminosos pagam pelo uso da ferramenta de forma mensal, anual ou vitalícia, visando facilitar o uso de malware para aqueles sem conhecimento técnico.
A Zscaler identificou que o arquivo malicioso é frequentemente atualizado, o que sugere que novas cargas podem ser adicionadas em versões futuras da campanha.
Segundo repositório sugere experimentos com vetores de entrega
Os pesquisadores também encontraram um segundo repositório com código idêntico, mas apresentando um botão “Download ZIP” que não estava funcional no momento da análise.
A Zscaler acredita que o repositório é operado pelo mesmo agente de ameaça, que possivelmente está testando diferentes estratégias de distribuição. Apesar das medidas de segurança da plataforma, o GitHub tem sido utilizado para espalhar cargas maliciosas disfarçadas de ferramentas legítimas.
Tática recorrente em eventos de alta repercussão
Essa abordagem não é inédita. No segundo semestre de 2025, agentes maliciosos utilizaram repositórios fictícios para atacar tanto pesquisadores quanto cibercriminosos iniciantes por meio de falsos exploits de vulnerabilidades novatas.
Nesses casos, quanto maior a repercussão de um evento no setor de segurança, mais propensos os criminosos se tornam a realizar ataques oportunistas contra usuários que buscam informações sobre o incidente.
Fique ligado na TecMania e nas redes sociais. Para mais notícias sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.