Kebocoran source code Claude Code milik Anthropic kini memunculkan ancaman baru di GitHub. Peretas memanfaatkan momen itu untuk menyebarkan malware Vidar lewat repositori palsu yang menyamar sebagai salinan kode gratis.
Insiden ini bukan sekadar persoalan kebocoran data teknis, tetapi juga menjadi pintu masuk serangan pencurian identitas dan kredensial. Pengembang yang tergoda mencari akses ke fitur korporat Claude Code bisa saja justru mengunduh file berbahaya yang dirancang untuk mencuri data pribadi dan akses kerja.
Kebocoran yang berawal dari paket npm
Masalah ini bermula saat Anthropic secara tidak sengaja mengekspos kode sisi klien melalui paket npm. Dalam publikasi tersebut, perusahaan memasukkan source map JavaScript berukuran 59,8 MB yang membuka sekitar 513.000 baris kode TypeScript yang tidak dikaburkan.
Data yang tersebar mencakup detail sensitif, termasuk logika orkestrasi dan sistem keamanan internal Claude Code. Begitu kode itu menyebar, ribuan pengguna ikut mengunduh dan membagikannya ulang lewat berbagai fork di GitHub.
GitHub palsu dipakai untuk jebakan pencarian
Perusahaan keamanan awan Zscaler menemukan bahwa pelaku memakai strategi yang sangat terarah untuk menjaring korban. Mereka membuat akun GitHub palsu dan mengoptimalkan kata kunci seperti “leaked Claude Code” agar muncul di hasil pencarian Google.
Modus ini memanfaatkan rasa ingin tahu sekaligus kebutuhan pengembang terhadap alat yang dianggap premium. Ketika pengguna membuka repositori palsu itu, mereka disuguhi arsip 7-Zip yang terlihat meyakinkan tetapi berisi file eksekusi berbahaya.
Bagaimana malware Vidar bekerja
Di dalam arsip itu terdapat file bernama ClaudeCode_x64.exe yang menjadi pemicu infeksi. Saat dijalankan, file tersebut memasang dropper berbasis Rust yang kemudian melepaskan Vidar ke perangkat korban.
Pelaku juga menggunakan GhostSocks untuk menyamarkan lalu lintas jaringan ilegal. Pola ini membuat aktivitas pencurian data lebih sulit dideteksi oleh sistem keamanan perusahaan maupun pengguna individu.
Apa yang dicuri Vidar dari perangkat korban
Vidar dikenal sebagai infostealer yang agresif dan fokus mencuri data bernilai tinggi. Malware ini menyasar kredensial yang tersimpan di peramban populer seperti Chrome, Edge, dan Firefox.
Selain nama pengguna dan kata sandi, Vidar juga bisa mencuri data kartu kredit yang tersimpan di fitur auto-fill. Yang lebih berbahaya, malware ini mampu mengambil session cookies aktif, sehingga peretas dapat masuk ke akun Gmail, Slack, atau layanan perbankan tanpa harus melewati verifikasi dua langkah.
| Target utama Vidar | Risiko yang ditimbulkan |
|---|---|
| Kata sandi browser | Akun bisa diambil alih |
| Data kartu kredit | Penyalahgunaan finansial |
| Session cookies | Bypass 2FA dan login tanpa izin |
| Data aplikasi kerja | Kebocoran akses perusahaan |
Mengapa pengembang jadi target empuk
Pengembang sering mengandalkan repositori publik, paket npm, dan hasil pencarian untuk mempercepat pekerjaan. Kebiasaan ini membuat mereka rentan saat menemukan sumber yang tampak resmi, padahal sudah dimodifikasi oleh pelaku kejahatan siber.
Karena itu, serangan semacam ini sering berhasil bukan karena celah teknis yang rumit, melainkan karena manipulasi kepercayaan. Iming-iming akses gratis ke fitur perusahaan juga membuat korban lebih mudah lengah saat melihat nama besar seperti Claude Code.
Langkah pencegahan yang perlu diperhatikan
- Unduh perangkat lunak hanya dari sumber resmi dan terverifikasi.
- Hindari repositori GitHub pihak ketiga yang menawarkan “leak” atau versi gratis dari produk berbayar.
- Periksa nama file, ukuran arsip, dan tanda-tanda aktivitas mencurigakan sebelum menjalankan program.
- Gunakan pemindai keamanan untuk memeriksa berkas hasil unduhan.
- Cabut session aktif dan ubah kata sandi jika ada indikasi perangkat terinfeksi.
Anthropic disebut sedang melakukan mitigasi untuk menekan dampak kebocoran aset intelektual tersebut. Di sisi lain, Zscaler menilai arsip berbahaya itu terus diperbarui, sehingga potensi serangan lanjutan masih terbuka jika pengguna tetap mencari Claude Code dari sumber yang tidak resmi.
