Claude Code 外洩被拿來散播 Vidar

Claude Code 外洩後，攻擊者幾乎立刻跟上。3 月 31 日，Anthropic 在 npm 套件裡不小心露出一個 59.8 MB 的 JavaScript source map。研究人員後來發現，假 GitHub 倉庫已經開始拿這波熱度，推送 Vidar 竊資木馬。

說白了，外洩本身很糟。更糟的是，攻擊者把它變成搜尋入口。有人在找 leaked Claude Code，結果先看到的是惡意 repo。這種玩法很土，但很有效。

Claude Code 是 Anthropic 的終端機型 AI 程式助理。它會碰系統、跑 LLM API、接 MCP，還會保留記憶。這代表它很方便，也代表原始碼能洩漏很多內部細節。

外洩了什麼，為什麼大家會追

這次曝光的內容很大包。研究指出，外洩資料包含 513,000 行未混淆的 TypeScript，分散在 1,906 個檔案裡。這不是小失誤，這是把整個實作骨架攤開給外界看。

對開發者來說，這種資料很有吸引力。你可以看出排程邏輯、權限處理、執行路徑、隱藏功能，還有一些安全設計的細節。對攻擊者來說，這些內容也很有價值，因為它能幫他們包裝更像真的釣餌。

根據 Zscaler 的說法，有個惡意倉庫是由 idbzoomh 這個帳號建立。它主打「unlocked enterprise」版本，還把關鍵字塞進標題與描述，讓它在 Google 搜尋裡很容易冒出來。

• 外洩 source map：59.8 MB
• 外洩 TypeScript：513,000 行
• 外洩檔案數：1,906
• 惡意檔案：7-Zip 壓縮包與 ClaudeCode_x64.exe

這套路不新，但包裝很新。攻擊者不用破解什麼高深漏洞，只要蹭上大家正在追的話題就夠了。人一急，判斷就會掉下來。

假 repo 怎麼把 Vidar 送進去

那個惡意倉庫提供一個可下載的壓縮檔，看起來像是外洩原始碼。裡面放的是一個 Rust 寫的可執行檔，名字叫 ClaudeCode_x64.exe。使用者一跑，dropper 就會裝上 Vidar，還會順便帶入 GhostSocks 這類代理工具。

Vidar 不是新面孔。它是常見的資訊竊取木馬，專門偷瀏覽器資料、已存密碼、session cookie，還有各種可直接拿來賣或拿來登入的東西。講白了，它要的是帳號，不是你的電腦外觀。

這裡最陰的是社交工程包裝。使用者看到「外洩版」「解鎖版」「企業版」，很容易以為自己撿到寶。其實只是幫攻擊者省下投放成本。

“There is a sucker born every minute.” — P. T. Barnum

這句老話很土，但很貼切。攻擊者不需要攻破 GitHub 的防線。他們只要一個像真的故事，一個會上搜尋結果的名稱，再加上一個讓人想點的壓縮檔。

Zscaler 也提到，這個壓縮檔更新得很勤。這表示它不是一次性的惡作劇，而是有人在持續調整投放流程。這種節奏很像真正的惡意操作，不像臨時起意的玩票。

為什麼 GitHub 一直被拿來做壞事

GitHub 很好用，也很容易被拿來濫用。開發者信任它，搜尋引擎也很愛抓它。很多人看到 GitHub 連結，就會先假設內容比較安全。

這個假設本身就有問題。平台可信，不代表每個 repo 都可信。攻擊者只要把 repo 包裝得像正常開源專案，很多人就會先下載再說。

這種手法也不是第一次出現。BleepingComputer 提到，晚近幾次事件裡，威脅者會把惡意內容包進「新漏洞 PoC」或「剛外洩的工具」這類倉庫。模式很固定，就是先抓注意力，再抓下載量。

• 入口：搜尋結果、GitHub 頁面、可下載壓縮檔
• 流程：假外洩 repo → 下載 archive → 執行 dropper → Vidar 與 GhostSocks
• 目標：開發者、安全研究員、愛看外洩內容的人
• 手法：SEO 關鍵字、倉庫命名、描述文字堆疊

我覺得最麻煩的點，是搜尋意圖被利用了。使用者本來就是想查 leaked Claude Code。攻擊者只要把 repo 做得更像答案，就能把風險藏在結果頁裡。

GitHub 這幾年也加了不少安全功能，GitHub Security 也一直在推 code scanning 和依賴安全。不過這類攻擊靠的不是技術漏洞，而是信任鏈。信任這件事，本來就很難完全自動化。

這件事對 AI 工具安全代表什麼

這起事件真正值得看的是節奏。AI coding tool 一出事，攻擊者馬上把它當流量入口。這表示 AI 工具不只是一套軟體，也是一個社交工程題材。

對團隊來說，source hygiene 不能只看程式碼品質。package 發佈流程、build artifact、source map、debug 檔案，都要一起檢查。少一個步驟，外洩就可能變成攻擊素材。

開發者工作流也會放大風險。開發者習慣快速下載、快速驗證、快速試跑。這種習慣在正常情況很有效，但遇到「外洩版」「解鎖版」時，就很容易被釣走。

如果你在做 AI coding tool，做法其實很樸素。先檢查套件發佈腳本，再看 release 包含哪些檔案。再來，source map、測試檔、內部註解，都要想清楚要不要出現在公開產物裡。

如果你只是使用者，那就更簡單。任何宣稱「有隱藏功能」或「免費解鎖企業版」的 repo，都先停一下。真的想看外洩內容，也先去確認來源，不要直接解壓執行。

跟其他案例比，這次哪裡特別

這次事件的特點，不是木馬本身，而是它搭上了 AI 工具外洩。攻擊者不是單純散播 Vidar，而是借 Claude Code 的話題把流量導進來。這讓它比一般惡意 repo 更容易吸到開發者注意。

如果拿常見的釣魚 repo 來比，這次多了兩層包裝。第一層是「外洩內容」。第二層是「AI coding tool」。兩層都很能吸眼球，也都很容易讓人降低戒心。

下面幾個數字很能看出差距。外洩檔案有 1,906 個，內容量很大。惡意檔案卻只要一個壓縮包就能開始投放。這就是攻擊成本和防禦成本不對稱的地方。

• Claude Code 外洩：513,000 行 TypeScript
• 惡意投放：1 個 archive 就能開始感染流程
• 搜尋入口：Google 結果可直接導流
• 附帶工具：Vidar + GhostSocks

這種不對稱很常見。防守方要顧發佈流程、搜尋結果、使用者判斷。攻擊方只要做出一個像真的頁面，就能開始收割。

所以我會把這次事件看成兩個教訓。第一，外洩本身就危險。第二，外洩後的輿論和搜尋流量，也會變成攻擊面。

產業脈絡：AI 工具越紅，越容易被借題發揮

AI coding 工具現在已經不是小眾玩具。從終端機 agent 到 IDE 外掛，大家都在搶開發者時間。只要產品夠紅，外界就會想看原始碼、看實作、看限制。

這種關注本來很正常。但對攻擊者來說，這就是一個現成的話題池。只要產品名稱夠熱，假 repo 就更容易混進搜尋頁面。

這也解釋了為什麼供應鏈安全一直很難做。你不只要保護程式，也要保護發佈管線、metadata、搜尋結果，還有使用者的判斷習慣。每一層都可能被拿來做文章。

從產業角度看，這種事件會逼團隊更重視 release discipline。像 npm 套件、source map、debug symbols 這些東西，以前常被當成瑣事。現在它們都可能直接變成攻擊入口。

對台灣開發團隊來說，這件事也很實際。很多人會在 GitHub 上找 sample、找 PoC、找 leaked build。習慣本身沒問題，但要多一道驗證。不要把「看起來像」當成「真的」。

結語：先驗證，再下載

我會先下這個判斷：這類攻擊只會越來越多。原因很簡單。熱點話題好蹭，GitHub 好包裝，搜尋流量又便宜。對攻擊者來說，這是很划算的生意。

如果你是開發者，最實際的動作就是三件事。看發布者是誰。看 repo 什麼時候建立。看下載檔是不是只有一個可執行檔。只要有一項怪怪的，就先別碰。

如果你是團隊管理者，我會建議把「外洩下載」列進資安教育案例。不是因為大家笨，而是因為大家都想先看第一手內容。攻擊者就是吃這個心理。

講白了，這次不是 Claude Code 被打爆，而是人們對外洩內容的好奇心，被拿去當投遞管道。你下次看到「leaked」「unlocked」「enterprise」這種字眼，先停 10 秒再說。