Claude Code
ソースコード流出後のセキュリティ脅威 — タイポスクワッティング・依存性混乱攻撃が発生
元記事を読む →Summary
Claude Codeソースコード流出に乗じ、攻撃者がnpm内部パッケージ名のタイポスクワッティングと依存性混乱攻撃(Dependency Confusion)を展開。3月31日00:21〜03:29 UTCの間にClaude Codeをインストール・更新したユーザーは、クロスプラットフォームRAT(リモートアクセストロイの木馬)を含むトロイの木馬化HTTPクライアントを取得した可能性がある。AI セキュリティ企業Straikerは、攻撃者がClaude Codeの内部コンテキストパイプラインを研究し、コンテキスト圧縮を生き残るペイロードの作成が可能になったと警告。
Key Takeaways
- 流出コードを基にした依存性混乱攻撃でトロイの木馬化パッケージが配布された
- 3月31日00:21〜03:29 UTCにインストール・更新したユーザーは影響を受けた可能性
- 攻撃者がClaude Codeの内部パイプラインを研究しコンテキスト圧縮耐性のペイロード開発が可能に
- AI開発ツールのサプライチェーンセキュリティの重要性が改めて浮き彫りに
Best Practice Updates
- Claude Codeを含むAI開発ツールのnpmパッケージ更新時は公式リリースの検証とハッシュチェックを実施する
元記事の著作権は各著作者に帰属します。