Ende März 2026 wurde der vollständige Quellcode von Claude Code, dem terminal-basierten KI-Programmier-Agenten von Anthropic, versehentlich der Öffentlichkeit preisgegeben. Ausgelöst durch einen einfachen, aber gravierenden Fehler bei der Software-Paketierung hat dieses Datenleck weitreichende Konsequenzen für die IT-Sicherheitslandschaft und die Software Supply Chain. Das Zscaler ThreatLabz-Team hat die Auswirkungen des Vorfalls analysiert und warnt aktuell vor aktiven Bedrohungskampagnen. Hacker und Cyberkriminelle nutzen das hohe öffentliche Interesse an dem Code-Leck gezielt als Social Engineering-Köder, um gefährliche Malware wie den Info-Stealer Vidar und den Proxy-Trojaner GhostSocks zu verbreiten.
Claude Code ist der AI-gestützte Coding CLI/Agent von Anthorpic, der Aufgaben im Terminal delegiert und dazu Hooks, Background Agents und autonome Daemons mit lokalen Ausführungskapazitäten einsetzt. Der Ursprung des Datenlecks liegt in einem Packaging-Fehler, bei dem versehentlich eine vollständige Source-Map generiert wurde und *.map nicht ausgeklammert war in .npmignore oder im Dateifeld von package.json. Die Map-Datei verwies auf ein komplettes ZIP des Programmiercodes, das in der Anthropic-Infrastruktur gehostet wurde. Das Datenleck enthielt etwa 513.000 Zeilen von unverschleiertem TypeScript Quellcode in 1.906 Dateien. Innerhalb weniger Stunden nach dem Bekanntwerden des Vorfalls wurde die Codebasis zehntausendfach heruntergeladen und auf Plattformen wie GitHub gespiegelt, wobei einige dieser Repositories in kürzester Zeit über 84.000 Stars erreichten. Trotz DMCA Takedown-Hinweisen (Urheberrechtsbeschwerden) seitens Anthropic bleibt der Code in hunderten öffentlichen Archiven im Netz verbreitet.
Die weite Verbreitung auf GitHub kreiert Angriffsvektoren, die von kriminellen Gruppierungen bereits ausgenutzt werden. Zu den Risiken zählen die folgenden Angriffsszenarien:
Darüber hinaus hat das ThreatLabz-Team bereits präparierte GitHub-Repositories entdeckt, die vorgeben, den „Claude Code Leak“ bereitzustellen. Das Repository erweckt den Anschein, als handele es sich um geleakten TypeScript-Quellcode für die Claude Code CLI von Anthropic. Die README-Datei behauptet sogar, der Code sei über eine .map-Datei im npm-Paket offengelegt und anschließend zu einem funktionierenden Fork mit freigeschalteten Enterprise-Funktionen und ohne Nachrichtenbeschränkungen kompiliert worden. Der Link zum Repository erscheint bei Google-Suchanfragen wie „geleakter Claude Code“ unter den Top- Suchergebnissen, wodurch er für neugierige User leicht zugänglich ist, wie die Abbildung unten zeigt. In Wahrheit handelt es sich dabei um trojanisierte Versionen. Über gefälschte ZIP-Archive oder manipulierte „Download ZIP“-Buttons wird im Hintergrund Schadsoftware wie Vidar und GhostSocks direkt auf die Entwicklersysteme geschleust.
Um sich anhand dieser komplexen Gefahrenlage zu schützen, empfiehlt Zscaler eine Zero Trust-Architektur und darauf aufbauend das Priorisieren der Segmentierung der Zugriffsrechte auf unternehmenskritische Anwendungen. Entwickler sollten den vermeintlich geleakten Code unter keinen Umständen aus inoffiziellen Quellen herunterladen oder ausführen, sondern ausschließlich auf verifizierte Kanäle und signierte Binärdateien von Anthropic zurückgreifen. Die Ausführung von KI-Agenten mit lokalem Shell-/Tool-Zugriff auf nicht vertrauenswürdige Codebasen muss unterbunden werden. Vorbeugend sollten Unternehmen Entwickler-Workstations auf ungewöhnliche Telemetriedaten oder ausgehende Verbindungen überwachen und lokale Umgebungen und Git-Klone auf verdächtige Prozesse, modifizierte Hooks oder unerwartete npm-Pakete untersuchen. Mit Hilfe von Anthropic Patches lassen sich neu entdeckte Sicherheitslücken schließen.
Kafka Kommunikation GmbH & Co. KG
Telefon: 089 747470580
E-Mail: info@kafka-kommunikation.de