Claude Code
Claude Codeソースコード流出後のサプライチェーン攻撃が拡大 — トロイの木馬版が拡散
元記事を読む(thehackernews.com) ↗Summary
Claude Code v2.1.88のソースコード流出(3月31日)を受け、攻撃者がトロイの木馬化されたClaude Codeバージョンをnpmで配布し、バックドア・データスティーラー・暗号通貨マイナーを仕込んでいることが確認された。内部パッケージ名のタイポスクワッティングと依存性混乱攻撃が展開中。Anthropicは「プロセスエラー」による流出と説明し、顧客データ・認証情報の漏洩はないと発表。
Key Takeaways
- ▸ トロイの木馬化されたClaude Codeがnpmで拡散中 — バックドア・データスティーラー・マイナーを含む
- ▸ 内部パッケージ名を利用したタイポスクワッティングと依存性混乱攻撃が継続
- ▸ Anthropicは「プロセスエラー」と説明、顧客データの漏洩は否定
- ▸ 流出した約1,900ファイル・512,000行のコードから内部依存関係が判明し攻撃が容易に
- ▸ 公式npmレジストリからのみインストールし、パッケージのハッシュ検証を徹底すべき
Best Practice Updates
- ✓ Claude Codeのインストール・更新は公式チャネルのみを使用し、`npm audit`でサプライチェーン攻撃を検知する
Same Day Signals
すべて見る →元記事の著作権は各著作者に帰属します。