出典:WIRED
詳細を読む
Anthropicが自社の人気バイブコーディングツール「Claude Code」のソースコードを誤って公開したことが、今週セキュリティ研究者によって報告されました。この流出を受け、多数のユーザーがGitHub上にコードを再投稿する動きが広がっています。
しかしBleepingComputerの報道によると、再投稿されたリポジトリの一部には情報窃取型マルウェアが密かに埋め込まれていることが判明しました。攻撃者は流出コードへの関心を悪用し、ダウンロードしたユーザーの個人情報を盗み取ろうとしています。
Anthropicは当初GitHub上の8000件以上のリポジトリに対して著作権侵害による削除申請を行いましたが、最終的に対象を96件のコピーおよび派生物に絞り込みました。Wall Street Journalがこの対応の経緯を報じています。
Claude Codeを狙った攻撃はこれが初めてではありません。3月には404 Mediaが、Googleの検索広告を利用して偽のClaude Codeインストールガイドへ誘導する手口を報告しています。ターミナル操作に不慣れなユーザーが特に狙われやすい状況です。
こうした攻撃手法は、正規のインストール手順を装ってマルウェアを実行させるソーシャルエンジニアリングの典型例です。オープンソースリポジトリを利用する際は、提供元の信頼性を慎重に確認することが求められています。