北京
Anthropic 的 Claude Code 前端源码意外泄露事件,正在演变成一场经典的"捡漏变踩雷"案例。
事情起因是人为失误——51.3 万行代码被打包进了 npm 公开包。这相当于把自家保险柜的图纸散落街头,虽然图纸本身不等于钥匙,但足够让有心人动歪脑筋。
安全公司 Zscaler 发现,有黑客迅速在 GitHub 建立了虚假仓库,打着"解锁企业功能"的旗号兜售所谓泄露源码。更精细的操作是:他们针对性优化了搜索引擎索引,让急着尝鲜的开发者一搜关键词就撞进陷阱。
下载运行后的剧本很老套,也很有效。Vidar 信息窃取程序入驻系统,同时部署 GhostSocks 代理工具。Vidar 在暗网明码标价,专攻浏览器数据、加密货币钱包——你的数字钱包,是它的重点关照对象。
研究人员注意到两个细节:恶意压缩包更新频繁,说明攻击者在持续迭代;同时发现了第二个手法相似的仓库,推测是在测试不同的传播策略。这就像钓鱼者同时甩出几副鱼钩,看哪副咬钩率更高。
开源社区有个不成文的默契:热点事件后,官方渠道之外的可执行文件,默认按"可疑"处理。这次事件不过是再次验证了这个默契的含金量。
截至报告发布,该虚假仓库已被标记,但搜索引擎的缓存和镜像站的备份仍在流转。有用户在技术论坛反馈,自己因"想对比官方版和企业版的差异"而中招——这个动机本身合理,只是选错了获取渠道。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
