Kebocoran source code Claude Code milik Anthropic kini berubah menjadi peluang baru bagi pelaku kejahatan siber di GitHub. Mereka memanfaatkan rasa penasaran pengguna dengan menyebarkan repositori palsu yang membawa malware Vidar, sebuah infostealer yang dirancang untuk mencuri kredensial, data browser, hingga session cookies.
Ancaman ini tidak berhenti pada pencurian kode atau aset teknis semata. Jika file berbahaya itu dijalankan, pelaku dapat mengincar data login, akses kerja, dan bahkan melewati perlindungan verifikasi dua langkah atau 2FA lewat cookie sesi yang masih aktif.
Bermula dari kebocoran paket npm
Kasus ini berawal ketika Anthropic secara tidak sengaja mengekspos kode sisi klien melalui paket npm. Dalam paket tersebut, terdapat source map JavaScript berukuran 59,8 MB yang membuka sekitar 513.000 baris kode TypeScript yang tidak dikaburkan.
Data yang ikut tersebar mencakup logika orkestrasi dan sistem keamanan internal Claude Code. Setelah kebocoran itu mencuat, ribuan pengguna mengunduh dan membagikan ulang salinan kode tersebut melalui berbagai fork di GitHub.
GitHub palsu dipakai untuk menjaring korban
Perusahaan keamanan awan Zscaler menemukan bahwa pelaku tidak sekadar menunggu korban datang. Mereka aktif membuat akun GitHub palsu dan mengoptimalkan kata kunci seperti “leaked Claude Code” agar tampil di hasil pencarian Google.
Strategi ini efektif karena menyasar pengguna yang mencari akses gratis ke alat yang dianggap premium. Saat repositori palsu dibuka, korban melihat arsip 7-Zip yang tampak meyakinkan, padahal di dalamnya sudah disiapkan file eksekusi berbahaya.
Cara Vidar masuk ke perangkat
File pemicu infeksi yang ditemukan di dalam arsip itu bernama ClaudeCode_x64.exe. Begitu dijalankan, file tersebut memasang dropper berbasis Rust yang kemudian melepaskan Vidar ke sistem korban.
Pelaku juga memanfaatkan GhostSocks untuk menyamarkan lalu lintas jaringan ilegal. Pola ini membuat aktivitas pencurian data lebih sulit terdeteksi oleh sistem keamanan perusahaan maupun perangkat pribadi.
Apa saja yang diburu Vidar
Vidar dikenal sebagai infostealer agresif yang fokus mengambil data bernilai tinggi. Malware ini menargetkan kredensial yang tersimpan di peramban populer seperti Chrome, Edge, dan Firefox.
Selain username dan kata sandi, Vidar juga dapat mencuri data kartu kredit yang tersimpan di fitur auto-fill. Yang lebih berbahaya, malware ini mampu mengambil session cookies aktif, sehingga pelaku bisa masuk ke akun Gmail, Slack, atau layanan perbankan tanpa harus melalui verifikasi dua langkah lagi.
Berikut target utama Vidar dan risikonya:
| Target utama Vidar | Risiko yang ditimbulkan |
|---|---|
| Kata sandi browser | Akun bisa diambil alih |
| Data kartu kredit | Penyalahgunaan finansial |
| Session cookies | Bypass 2FA dan login tanpa izin |
| Data aplikasi kerja | Kebocoran akses perusahaan |
Mengapa pengembang jadi sasaran empuk
Pengembang sering mengandalkan repositori publik, paket npm, dan hasil pencarian untuk mempercepat pekerjaan. Kebiasaan ini membuat mereka lebih rentan ketika menemukan sumber yang tampak resmi, tetapi ternyata sudah dimodifikasi oleh pelaku kejahatan siber.
Serangan seperti ini sering berhasil bukan karena celah teknis yang sangat rumit. Serangan semacam ini justru memanfaatkan kepercayaan pengguna pada nama besar dan pada asumsi bahwa repositori yang ramai dibagikan pasti aman.
Tanda-tanda repositori berbahaya yang perlu diwaspadai
- Menggunakan kata kunci seperti “leak”, “crack”, atau “free download”.
- Menawarkan file arsip yang tidak biasa untuk proyek kode sumber.
- Memiliki akun pembuat yang baru dibuat atau minim riwayat.
- Meminta pengguna menjalankan file executable, bukan hanya membaca source code.
- Muncul dari hasil pencarian, tetapi tidak berasal dari kanal resmi pengembang.
Langkah aman sebelum mengunduh kode
Pengguna sebaiknya hanya mengambil perangkat lunak dari sumber resmi dan terverifikasi. Repositori pihak ketiga yang mengklaim menyediakan versi gratis dari produk berbayar perlu diperlakukan sebagai risiko tinggi.
Pemeriksaan terhadap nama file, ukuran arsip, serta perilaku file sebelum dijalankan juga penting dilakukan. Pemindai keamanan membantu mendeteksi file mencurigakan, sementara pencabutan session aktif dan penggantian kata sandi perlu segera dilakukan jika ada indikasi perangkat telah terinfeksi.
Anthropic disebut tengah melakukan mitigasi untuk menekan dampak kebocoran aset intelektual tersebut. Di sisi lain, Zscaler menilai arsip berbahaya masih terus diperbarui, sehingga ancaman serupa bisa tetap muncul selama pengguna mencari Claude Code dari sumber yang tidak resmi.
