В конце марта 2026 года мир информационной безопасности столкнулся с уникальным по масштабам и последствиям инцидентом, связанным с утечкой интеллектуальной собственности. Компания Anthropic, один из ведущих разработчиков искусственного интеллекта, случайно раскрыла полный исходный код своего флагманского продукта - терминального ИИ-агента для разработки Claude Code. Однако куда большую опасность, чем сам факт утечки, представляют её последствия: волна мошеннических репозиториев и троянизированных сборок, которая накрыла сообщество разработчиков, превратив любопытство в прямой канал для компрометации рабочих станций.
Описание
Инцидент произошёл 31 марта 2026 года из-за ошибки в процессе сборки публичного npm-пакета @anthropic-ai/claude-code версии 2.1.88. В пакет был включён JavaScript source map файл размером 59.8 МБ, который, по сути, является картой, связывающей минифицированный код с его оригинальными, читаемыми исходниками. Этот файл содержал ссылки на полный архив TypeScript-кода, размещённый на инфраструктуре Anthropic в Cloudflare R2. Как сообщил независимый исследователь Чаофань Шоу в социальной сети X, в файле содержалось около 513 тысяч строк необфусцированного кода, распределённых по 1906 файлам, что раскрывало всю внутреннюю архитектуру клиентской части агента.
В течение нескольких часов после публикации информация стала вирусной. Исходный код был скачан с серверов Anthropic, зазеркален на GitHub и размножен в десятки тысяч форков. Отдельные репозитории моментально набрали более 84 тысяч звёзд и 82 тысяч ответвлений, привлекая внимание как искренне заинтересованных разработчиков и исследователей, так и злоумышленников. Компания Anthropic предприняла попытки удалить некоторые копии, отправив уведомления по закону DMCA (Digital Millennium Copyright Act), однако остановить распространение было уже невозможно - код оказался в сотнях публичных репозиториев.
С технической точки зрения утечка обнажила критически важные компоненты системы. Среди них - логика оркестрации агента, включая вызовы API больших языковых моделей, циклы использования инструментов и координацию нескольких агентов. Также стали достоянием общественности уровень разрешений и исполнения команд, системы постоянной памяти, внутренние механизмы безопасности, такие как анализ телеметрии, межпроцессное взаимодействие и логика авторизации OAuth. Кроме того, были раскрыты 44 функциональных флага, более двадцати из которых соответствовали ещё не выпущенным функциям. Важно отметить, что веса моделей ИИ, конвейеры безопасности и пользовательские данные в утечку не попали.
Параллельно с этим аналитики из ThreatLabz компании Zscaler, занимаясь мониторингом угроз на GitHub, обнаружили активность, которая превратила этот инцидент из проблемы репутации в прямую киберугрозу. Злоумышленники начали создавать репозитории-приманки, которые выдавали себя за зеркала с утёкшим кодом Claude Code. Один из таких репозиториев, созданный пользователем idbzoomh, был специально оптимизирован для поисковых систем и появлялся в топе выдачи Google по запросам вроде "leaked Claude Code". Его описание содержало заявления о "разблокированных" корпоративных функциях и снятии лимитов, что делало его особенно привлекательным для неосторожных разработчиков.
В разделе releases этого репозитория размещался архив с названием "Claude Code - Leaked Source Code (.7z)". Внутри находился исполняемый файл ClaudeCode_x64.exe, который на самом деле являлся дроппером, написанным на Rust. При запуске он устанавливал на систему два вредоносных модуля: инфостилер Vidar версии 18.7 и прокси-утилиту GhostSocks для организации скрытого сетевого трафика. Аналитики отметили, что злоумышленник активно обновлял архив в репозитории, выпуская новые версии с небольшим интервалом, что может указывать на попытки обхода простых сигнатур антивирусов. Была обнаружена и вторая учётная запись, вероятно, принадлежащая тому же актору, которая использовала похожую, но на момент анализа нефункциональную приманку с кнопкой загрузки.
Этот случай наглядно демонстрирует, как технический инцидент, не связанный изначально со злым умыслом, мгновенно монетизируется угрозными акторами. Они эксплуатируют естественный интерес и ажиотаж в профессиональном сообществе, используя доверенные платформы вроде GitHub в качестве канала доставки вредоносного кода. Угроза усугубляется тем, что полный исходный код продукта теперь доступен для анализа, что позволяет злоумышленникам искать в нём ранее неизвестные уязвимости или создавать высокотаргетированные атаки, основанные на понимании внутренней логики работы агента, включая его систему разрешений и хуков.
Таким образом, утечка кода Claude Code переросла в многослойную проблему безопасности. Прямая угроза исходит не от самого исходного кода, а от его производных: троянизированных форков, которые могут содержать бэкдоры, сборщики данных или майнеры криптовалют. Разработчики, стремящиеся первыми опробовать "утекшие" возможности, рискуют скомпрометировать свои рабочие станции и корпоративные сети. Для организаций это создаёт риски цепочки поставок, когда вредоносный код может проникнуть в проекты через недоверенные зависимости. Данный инцидент служит суровым напоминанием о необходимости строгой верификации источников загрузки, даже если они кажутся авторитетными, и о важности сегментации доступа к критическим системам в рамках архитектуры Zero Trust для минимизации потенциального ущерба.
Индикаторы компрометации
URLs
- https://147.45.197.92:443
- https://94.228.161.88:443
- https://github.com/idbzoomh1
- https://github.com/leaked-claude-code/leaked-claude-code
- https://github.com/my3jie/leaked-claude-code
- https://rti.cargomanbd.com
- https://steamcommunity.com/profiles/76561198721263282
- https://telegram.me/g1n3sss
MD5
- 3388b415610f4ae018d124ea4dc99189
- 77c73bd5e7625b7f691bc00a1b561a0f
- 81fb210ba148fd39e999ee9cdc085dfc
- 8660646bbc6bb7dc8f59a764e25fe1fd
- 9a6ea91491ccb1068b0592402029527f
- d8256fbc62e85dae85eb8d4b49613774
