มัลแวร์ปลอมเป็น Claude Code เพิ่มขึ้นอย่างรวดเร็ว
(app-place-tech.com)[ข่าว] เตือนภัยการแพร่กระจายของมัลแวร์อัจฉริยะที่อาศัยช่องโหว่จากการรั่วไหลของซอร์สโค้ด 'Claude Code' ของ Anthropic
เมื่อเร็ว ๆ นี้ หลังเกิดเหตุซอร์สโค้ดของ 'Claude Code' เครื่องมือ AI สำหรับการเขียนโค้ดแบบ CLI ของ Anthropic รั่วไหลจากความผิดพลาดในการตั้งค่าบิลด์ ได้เกิดการโจมตีแบบซัพพลายเชนและการโจมตีด้วยวิศวกรรมสังคมที่มีความซับซ้อนเพิ่มขึ้นอย่างรวดเร็ว โดยอาศัยช่องโหว่นี้ ทำให้นักพัฒนาจำเป็นต้องเพิ่มความระมัดระวังเป็นพิเศษ
1. จุดเริ่มต้นของเหตุการณ์: การรั่วไหลของซอร์สจากข้อผิดพลาดในการตั้งค่า Bun runtime
เมื่อวันที่ 31 มีนาคม Anthropic ได้ใส่ไฟล์ source map (cli.js.map) เข้าไปโดยไม่ตั้งใจ ระหว่างกระบวนการเผยแพร่แพ็กเกจ npm ทางการ (@anthropic-ai/claude-code v2.1.88)
2. เวกเตอร์การโจมตีหลัก: 'InstallFix' และ 'GitHub Bait'
ผู้โจมตีได้วิเคราะห์โค้ดที่รั่วไหล แล้วคัดลอก UX และกลไกการติดตั้งของ Claude Code ได้อย่างแนบเนียน ก่อนเผยแพร่มัลแวร์ผ่านช่องทางต่อไปนี้
- แคมเปญ InstallFix (SEO Poisoning): แสดงเว็บไซต์ฟิชชิงในตำแหน่งโฆษณาด้านบนของ Google ด้วยคีย์เวิร์ด "Claude Code install"
- รีโพซิทอรีปลอมบน GitHub: ใช้ข้อความล่ออย่าง "unlocked", "enterprise feature" เป็นต้น และหลอกว่าเป็นเวอร์ชันดัดแปลงจากโค้ดที่รั่วไหล พร้อมแจกจ่ายไบนารีที่ฝัง Vidar (อินโฟสตีลเลอร์) และ GhostSocks (มัลแวร์พร็อกซี)
- ปลอมเป็นส่วนขยาย VS Code: ผ่านส่วนขยายที่แอบอ้างเป็นแอปทางการของ Anthropic โดยรัน
powershellและmshtaอยู่เบื้องหลังเพื่อทำการโจมตีแบบ Fileless
3. ภัยคุกคามด้านความปลอดภัยของซัพพลายเชน (npm Typosquatting)
ยังตรวจพบสัญญาณว่าผู้โจมตีซึ่งเห็นชื่อ dependency ภายในจากโค้ดที่รั่วไหล กำลังยึดชื่อแพ็กเกจที่ดูเหมือนเป็นโมดูลภายในของ Claude Code เช่น audio-capture-napi, url-handler-napi เพื่อเตรียมการโจมตีแบบ Dependency Confusion
4. แนวทางรับมือ
- ตรวจสอบเส้นทางการติดตั้ง
- ระวังการคัดลอกและวาง
- ตรึงเวอร์ชันแพ็กเกจ
- ตรวจจับเหตุการณ์ที่เกี่ยวข้อง
สรุปสั้น ๆ: อย่าค้นหา Claude Code บน Google เพื่อติดตั้งแล้วคัดลอกคำสั่งไปวางในเทอร์มินัลทันที เพราะมีความเสี่ยงสูงมากที่จะติดอินโฟสตีลเลอร์จากหน้าเว็บปลอม
ยังไม่มีความคิดเห็น