Claude Code Leak zieht Malware-Kampagnen nach sich

Ende März 2026 wurde der vollständige Quellcode von Claude Code, dem terminal-basierten KI-Programmier-Agenten von Anthropic, versehentlich der Öffentlichkeit preisgegeben. Ausgelöst durch einen einfachen, aber gravierenden Fehler bei der Software-Paketierung hat dieses Datenleck weitreichende Konsequenzen für die IT-Sicherheitslandschaft und die Software Supply Chain. Das Zscaler ThreatLabz-Team hat die Auswirkungen des Vorfalls analysiert und warnt aktuell vor aktiven Bedrohungskampagnen. Hacker und Cyberkriminelle nutzen das hohe öffentliche Interesse an dem Code-Leck gezielt als Social Engineering-Köder, um gefährliche Malware wie den Info-Stealer Vidar und den Proxy-Trojaner GhostSocks zu verbreiten.

Claude Code ist der AI-gestützte Coding CLI/Agent von Anthorpic, der Aufgaben im Terminal delegiert und dazu Hooks, Background Agents und autonome Daemons mit lokalen Ausführungskapazitäten einsetzt. Der Ursprung des Datenlecks liegt in einem Packaging-Fehler, bei dem versehentlich eine vollständige Source-Map generiert wurde und *.map nicht ausgeklammert war in .npmignore oder im Dateifeld von package.json. Die Map-Datei verwies auf ein komplettes ZIP des Programmiercodes, das in der Anthropic-Infrastruktur gehostet wurde. Das Datenleck enthielt etwa 513.000 Zeilen von unverschleiertem TypeScript Quellcode in 1.906 Dateien. Innerhalb weniger Stunden nach dem Bekanntwerden des Vorfalls wurde die Codebasis zehntausendfach heruntergeladen und auf Plattformen wie GitHub gespiegelt, wobei einige dieser Repositories in kürzester Zeit über 84.000 Stars erreichten. Trotz DMCA Takedown-Hinweisen (Urheberrechtsbeschwerden) seitens Anthropic bleibt der Code in hunderten öffentlichen Archiven im Netz verbreitet.

Potenzielle Missbrauchs- und Sicherheitsrisiken

Die weite Verbreitung auf GitHub kreiert Angriffsvektoren, die von kriminellen Gruppierungen bereits ausgenutzt werden. Zu den Risiken zählen die folgenden Angriffsszenarien:

1. Lieferkettenangriffe durch bösartige Forks und Mirrors: Tausende von Repositories hosten mittlerweile den geleakten Code oder dessen Ableitungen. Angreifer nutzen bereits mit Trojanern versehene Versionen und platzieren darüber Backdoors, Datenexfiltratoren oder Kryptominer. Unvorsichtige User, die offiziell aussehende Forks klonen, riskieren eine sofortige Kompromittierung.
   
   
2. Verstärkte Ausnutzung bekannter Schwachstellen und neue Schwachstellen: Bereits bestehende Sicherheitslücken (z. B. CVE-2025-59536, CVE-2026-21852, Remote Code Execution (RCE) und API Key-Diebstahl über manipulierte Repository-Konfigurationen, Hooks, MCP-Server und Umgebungsvariablen) lassen sich nun deutlich einfacher ausnutzen. Angreifer mit vollständigem Quellcode-Einblick können präzise manipulierte Repositories oder Projektdateien erstellen, die durch einfaches Klonen/Öffnen eines nicht vertrauenswürdigen Repositories beliebige Shell-Befehle ausführen oder Anmeldeinformationen stehlen. Die offengelegten Hooks und Berechtigungslogiken machen die unbemerkte Übernahme von Geräten zuverlässiger.
   
   
3. Kompromittierung lokaler Umgebungen und Entwickler-Workstations: User, die den geleakten Code lokal kompilieren oder ausführen, führen ungeprüfte Abhängigkeiten und Ausführungspfade ein. Das Leck fiel zeitlich exakt mit einem separaten, bösartigen Axios-Angriff auf die npm-Lieferkette zusammen. Entsprechende Remote Access Trojaner wurden am 31. März zwischen 00:21 und 03:29 UTC veröffentlicht, wodurch eine Angriffsfläche entstand, wenn Claude Code an diesem Tag über npm aktualisiert wurde.

Darüber hinaus hat das ThreatLabz-Team bereits präparierte GitHub-Repositories entdeckt, die vorgeben, den „Claude Code Leak“ bereitzustellen. Das Repository erweckt den Anschein, als handele es sich um geleakten TypeScript-Quellcode für die Claude Code CLI von Anthropic. Die README-Datei behauptet sogar, der Code sei über eine .map-Datei im npm-Paket offengelegt und anschließend zu einem funktionierenden Fork mit freigeschalteten Enterprise-Funktionen und ohne Nachrichtenbeschränkungen kompiliert worden. Der Link zum Repository erscheint bei Google-Suchanfragen wie „geleakter Claude Code“ unter den Top- Suchergebnissen, wodurch er für neugierige User leicht zugänglich ist, wie die Abbildung unten zeigt. In Wahrheit handelt es sich dabei um trojanisierte Versionen. Über gefälschte ZIP-Archive oder manipulierte „Download ZIP“-Buttons wird im Hintergrund Schadsoftware wie Vidar und GhostSocks direkt auf die Entwicklersysteme geschleust.

Sicherheitsempfehlungen

Um sich anhand dieser komplexen Gefahrenlage zu schützen, empfiehlt Zscaler  eine Zero Trust-Architektur und darauf aufbauend das Priorisieren der Segmentierung der Zugriffsrechte auf unternehmenskritische Anwendungen. Entwickler sollten den vermeintlich geleakten Code unter keinen Umständen aus inoffiziellen Quellen herunterladen oder ausführen, sondern ausschließlich auf verifizierte Kanäle und signierte Binärdateien von Anthropic zurückgreifen. Die Ausführung von KI-Agenten mit lokalem Shell-/Tool-Zugriff auf nicht vertrauenswürdige Codebasen muss unterbunden werden. Vorbeugend sollten Unternehmen Entwickler-Workstations auf ungewöhnliche Telemetriedaten oder ausgehende Verbindungen überwachen und lokale Umgebungen und Git-Klone auf verdächtige Prozesse, modifizierte Hooks oder unerwartete npm-Pakete untersuchen. Mit Hilfe von Anthropic Patches lassen sich neu entdeckte Sicherheitslücken schließen.

Pressekontakt

Kafka Kommunikation GmbH & Co. KG

Telefon: 089 747470580
E-Mail: info@kafka-kommunikation.de