La fuga accidentale di parte del codice di Claude Code, l’agente di coding da terminale di Anthropic, ha aperto in poche ore un secondo fronte: quello delle campagne malevole che sfruttano la curiosità di sviluppatori e ricercatori. Secondo un’analisi pubblicata da Zscaler ThreatLabz il 1° aprile 2026, alcuni attori malevoli hanno già trasformato il caso in un’esca per distribuire Vidar e GhostSocks tramite repository GitHub che si presentano come copie “leakate” del progetto.
Il punto di partenza è ormai noto. Il 31 marzo 2026 Anthropic ha esposto il codice sorgente di Claude Code attraverso un file source map da 59,8 MB incluso nel pacchetto npm pubblico @anthropic-ai/claude-code versione 2.1.88. La società ha ricondotto l’episodio a un errore umano di packaging, non a una violazione esterna, e ha dichiarato che non sono stati coinvolti dati dei clienti né credenziali. La documentazione consultata indica un’esposizione di circa 513 mila righe di TypeScript distribuite su quasi 1.900 file, materiale che in poche ore è stato copiato, analizzato e rilanciato su GitHub.
La circolazione del materiale è stata rapidissima. Secondo le ricostruzioni pubblicate nelle ultime ore, il codice è stato replicato in numerosi mirror e Anthropic ha iniziato a inviare richieste di rimozione per limitare la diffusione. TechCrunch riferisce che una delle notice ha interessato circa 8.100 repository, compresi alcuni fork che contenevano anche codice lecito del progetto pubblico.
Per chi si occupa di sicurezza, però, il nodo più interessante non è soltanto la fuga del codice, ma ciò che è accaduto subito dopo. Zscaler ThreatLabz afferma di avere individuato un repository pubblicato per fingersi una versione ricostruita del leak di Claude Code, con tanto di promesse di funzioni “sbloccate” e limiti rimossi. In realtà, dietro il richiamo del presunto codice sorgente, il repository distribuiva un archivio malevolo che conteneva ClaudeCode_x64.exe, un dropper sviluppato in Rust. Una volta eseguito, il file installava Vidar v18.7, noto info-stealer, e GhostSocks, usato per instradare traffico di rete attraverso proxy controllati dagli attaccanti.
Il report aggiunge un dettaglio rilevante: il repository malevolo compariva fra i risultati più visibili per ricerche come “leaked Claude Code”, fatto che aumenta parecchio la probabilità di contatto da parte di utenti curiosi o in cerca di una copia funzionante del progetto. ThreatLabz sostiene inoltre di avere individuato un secondo account con materiale molto simile, attribuito allo stesso attore. Al momento, questa parte della ricostruzione arriva dal lavoro di Zscaler e va letta come attribuzione del vendor.
Il caso si inserisce in un contesto già delicato. Oltre alla fuga del sorgente, diversi osservatori hanno evidenziato i rischi tecnici legati alla maggiore visibilità sulla logica interna di Claude Code, inclusi meccanismi di orchestrazione degli agenti, hook, gestione dei permessi, integrazioni con strumenti esterni e parti del sistema di memoria e stato. Zscaler sottolinea che il leak non include model weights, pipeline di sicurezza o dati utente, ma espone comunque informazioni utili per studiare il comportamento del client e costruire attacchi più precisi contro ambienti di sviluppo e workstation.
C’è poi un aspetto che amplia ulteriormente il rischio: la tentazione di scaricare, compilare o provare copie del codice diffuse da terzi. The Hacker News ha ricordato che nelle stesse ore del leak si è intrecciato anche un tema di supply chain, con riferimenti a pacchetti e dipendenze potenzialmente pericolosi per chi aggiornava o ricostruiva l’ambiente in modo frettoloso. Questo non significa che ogni copia del leak sia malevola, ma rende molto più probabile l’uso di repository-esca, dipendenze manipolate e nomi di pacchetti predisposti per attacchi di confusion o typosquatting.
Dal punto di vista giornalistico, la vicenda mostra quanto poco tempo serva perché un incidente tecnico si trasformi in una campagna opportunistica. Prima arriva l’errore di pubblicazione, subito dopo si attiva l’ecosistema dei mirror, e infine compaiono attori che sfruttano il clamore per distribuire malware sotto una veste quasi credibile. In questo caso il richiamo del brand Claude e l’interesse per gli strumenti agentici hanno offerto agli attaccanti un contesto ideale.
Per team di sviluppo e aziende la lezione è abbastanza netta: copie non ufficiali, fork poco chiari e archivi eseguibili associati al leak vanno trattati come potenzialmente ostili. Zscaler raccomanda di affidarsi solo ai canali ufficiali di Anthropic, limitare l’esecuzione di agenti con accesso locale su codice non verificato, monitorare le connessioni anomale dalle workstation degli sviluppatori e controllare l’ambiente locale alla ricerca di processi sospetti o pacchetti npm inattesi.
