Buscaban un asistente de IA — recibieron un troyano: la reciente filtración de Claude Code desató una ola de infecciones fuera de contro
La curiosidad salió mucho más cara de lo esperado.
La reciente filtración del código interno de una de las herramientas de IA más destacadas de la actualidad se convirtió inesperadamente en un cebo conveniente para ciberdelincuentes. Un error en la publicación del paquete desencadenó una reacción en cadena —desde la rápida difusión de los archivos hasta la aparición de copias maliciosas dirigidas a desarrolladores.
El incidente ocurrió el 31 de marzo de 2026, cuando Anthropic por error incluyó en un paquete npm público un archivo con el mapa de fuentes. Como resultado, se pusieron a disposición más de medio millón de líneas de código TypeScript relacionadas con Claude Code —un asistente terminal para programación. No se filtraron datos de usuarios ni pesos de modelos; sin embargo, la publicación reveló la arquitectura interna y los mecanismos de funcionamiento del producto.
Después de que el especialista Chaofan Shou informó sobre el hallazgo en redes sociales, el archivo se propagó rápidamente por GitHub. Los repositorios con copias comenzaron a ser clonados y bifurcados masivamente, lo que creó un entorno propicio para abusos. Los atacantes aprovecharon la situación con rapidez y empezaron a publicar proyectos falsos, haciéndolos pasar por la versión «filtrada» de Claude Code.
El equipo Zscaler ThreatLabz detectó una de esas campañas. Uno de los repositorios maliciosos, publicado por el usuario idbzoomh, apareció entre los primeros resultados de búsqueda. La página promete una versión corporativa «desbloqueada» sin restricciones; sin embargo, en lugar del código fuente ofrece un archivo comprimido con un ejecutable escrito en Rust.
Al ejecutarse, el programa descarga el stealer Vidar, que roba credenciales, y también un componente GhostSocks —un proxy para redirigir el tráfico de red. Este esquema ya se había observado en ataques con instaladores falsos, donde módulos maliciosos se distribuían haciéndose pasar por software legítimo.
Los riesgos no se limitan a la ingeniería social. El código filtrado contiene información sobre los mecanismos de orquestación, los sistemas de memoria, los niveles de ejecución de comandos y las configuraciones ocultas. Dado que Claude Code puede interactuar con el shell local y ejecutar scripts automáticamente, disponer del código fuente completo permite a los atacantes crear ataques precisos y sigilosos. Basta con convencer a un desarrollador de que abra un proyecto malicioso o clone un repositorio sospechoso para obtener acceso al sistema.
Los especialistas recomiendan que las empresas refuercen de inmediato la protección de los entornos de trabajo. A los desarrolladores se les aconseja ignorar cualquier fuente no oficial que ofrezca código «filtrado» y utilizar solo compilaciones verificadas. La segmentación de accesos y el enfoque Zero Trust aportan protección adicional. El monitoreo de conexiones salientes y la verificación de paquetes npm locales son medidas importantes que ayudan a detectar señales de infección a tiempo.