Claude Code запускает вредоносный код из GitHub без предупреждения

Атака, которую никто не увидит

Представьте: вы получаете ссылку на репозиторий в Slack от коллеги, открываете его через Claude Code, запускаете стандартный setup — и через несколько секунд злоумышленник уже читает ваши API-ключи. Никакого взлома в классическом смысле, никакого вредоносного кода в самом репозитории. Просто один DNS-запрос в нужный момент.

Именно такую атаку продемонстрировали исследователи из 0DIN — платформы Mozilla для поиска уязвимостей в генеративном ИИ. И это, пожалуй, один из самых элегантно неприятных векторов атаки, которые я видел за последнее время.

Как это работает технически

Схема устроена так: в репозитории находится скрипт установки, который выглядит абсолютно безобидно при любом статическом анализе. Никаких подозрительных команд, никаких закодированных строк. Вредоносная нагрузка загружается в момент выполнения через DNS-запрос — то есть существует исключительно в оперативной памяти и никогда не присутствует в самом коде.

Когда Claude Code встречает стандартное сообщение об ошибке во время настройки, он автоматически запускает скрипт для её устранения. Именно в этот момент происходит DNS-запрос, возвращающий команду, которая открывает reverse shell на машину атакующего. Дальше — полный контроль: API-ключи, токены авторизации, учётные данные, сохранённые в браузере, постоянный доступ к системе.

Почему это так опасно? Потому что ни один сканер уязвимостей, ни code review, ни сам ИИ-агент не увидят ничего подозрительного в репозитории. Атака невидима до момента исполнения.

Параллельная угроза: поддельные репозитории с «утёкшим» Claude Code

Одновременно с этой историей разворачивается другой, но связанный сценарий. В конце марта 2026 года Anthropic случайно опубликовал в npm-пакете `@anthropic-ai/claude-code` (версия 2.1.88) файл `cli.js.map` весом 59,8 МБ — исходную карту JavaScript с полным TypeScript-деревом проекта: около 512 000 строк кода в 1900 файлах. Это была не хакерская атака, а банальная ошибка в `.npmignore`.

Но через 24 часа после утечки злоумышленники уже создали фейковые репозитории, эксплуатирующие интерес к «слитому» коду. Исследователи Zscaler и Trend Micro зафиксировали кампанию: репозиторий от аккаунта «idbzoomh» предлагал якобы рабочую сборку слитого Claude Code с «разблокированными энтерпрайз-функциями» и «jailbreak mode». На деле скачивался `.7z`-архив с дроппером `ClaudeCode_x64.exe` на Rust.

Дроппер устанавливал два инструмента: Vidar — инфостилер, собирающий пароли, данные банковских карт и историю браузера, и GhostSocks — прокси-малварь, позволяющая использовать заражённый ПК как анонимайзер для других атак. По данным SC World, десятки тысяч пользователей уже скачали скомпрометированные версии.

Trend Micro выяснила, что это часть более широкой ротационной кампании, активной с февраля 2026 года — злоумышленники имитировали более 25 программных брендов, каждый раз меняя приманку, но используя один и тот же Rust-скомпилированный пейлоад.

Почему ИИ-агенты — идеальный вектор атаки

Здесь важно понять структурную проблему. Claude Code, Cursor, GitHub Copilot и другие агентские инструменты по своей природе доверяют контексту репозитория. Они читают README, следуют инструкциям по установке, исполняют скрипты — именно так их и задумали. Это называется indirect prompt injection: атакующий не взламывает сам ИИ, он манипулирует данными, которые ИИ обрабатывает.

Для разработчика это меняет модель угроз кардинально. Раньше достаточно было не запускать исполняемые файлы из незнакомых источников. Теперь даже клонирование репозитория и запуск ИИ-ассистента для его изучения может стать точкой компрометации — если в setup-скрипте спрятан DNS-трюк.

Одна ссылка в вакансии, туториале или корпоративном чате — и готово.

Что делать прямо сейчас

Рекомендации исследователей 0DIN звучат разумно, хотя и требуют изменения в самих ИИ-инструментах: агент должен показывать содержимое setup-скрипта перед его выполнением, а не запускать его автоматически при встрече с ошибкой.

До тех пор разработчикам стоит:

- Относиться к инструкциям по установке в чужих репозиториях как к недоверенному коду — читать их глазами, а не делегировать ИИ - Проверять DNS-запросы во время выполнения скриптов (инструменты вроде `dnspy` или сетевой мониторинг) - Использовать изолированные окружения (Docker, виртуальные машины) при работе с незнакомыми репозиториями - Не доверять репозиториям, предлагающим «утёкшие» версии коммерческих ИИ-инструментов — это классическая социальная инженерия

Для российских разработчиков ситуация осложняется тем, что часть защитных инструментов (например, корпоративные решения Zscaler или Trend Micro) может быть недоступна без VPN или корпоративных лицензий. Claude Code при этом работает через API Anthropic, который в РФ требует либо зарубежной карты, либо прокси.

Системная проблема, не частный случай

Эти две истории — DNS-атака через ИИ-агент и кампания с фейковыми репозиториями — симптомы одной болезни. Экосистема ИИ-инструментов для разработчиков растёт быстрее, чем формируются практики безопасности вокруг неё. Anthropic случайно слила исходный код через npm. Злоумышленники среагировали за сутки. Исследователи показали, что сам инструмент можно превратить в вектор атаки без единой строчки малвари в репозитории.

Trend Micro анонсировала Agentic Governance Gateway в составе TrendAI — попытку создать управляющий слой для контроля за поведением агентских ИИ. Это правильное направление, но индустрии нужны стандарты, а не точечные решения от отдельных вендоров.

Пока их нет — каждый репозиторий, который вы открываете через ИИ-агент, это потенциальная точка доверия. Доверяйте осознанно.

*Информация подтверждена несколькими независимыми публикациями профильных изданий по кибербезопасности.*