Hackers espalham vazamento do Claude Code e escondem malware em arquivos compactados

A fuga de dados do Claude Code se tornou uma ferramenta nas mãos de cibercriminosos: hackers estão distribuindo em massa arquivos que supostamente contêm dados vazados da Anthropic, mas junto com eles as vítimas recebem malware oculto. O ataque é direcionado a usuários que buscam acesso a materiais proibidos e estão dispostos a correr riscos por isso. O esquema funciona de acordo com o princípio clássico de isca digital.

Arquivos com nomes que sugerem conteúdo exclusivo — vazamentos da Anthropic, dados internos do Claude Code, código-fonte dos produtos da empresa — são distribuídos por fóruns, canais do Telegram, servidores Discord e torrents. Dentro deles, junto com arquivos reais ou fabricados, está oculto um infostealer ou carregador de malware adicional. Após a execução, o malware coleta dados de navegadores, carteiras de criptografia e mensageiros — tudo o que pode ser usado para roubar contas ou ser monetizado no mercado negro.

O ataque explora não apenas a curiosidade do usuário, mas também seu desejo de contornar restrições. Pessoas que buscam dados vazados sobre produtos de IA comerciais frequentemente negligenciam medidas de segurança padrão: não verificam a origem, não executam arquivos em ambiente isolado, não analisam o conteúdo antes de abrir. Isso os torna um público particularmente vulnerável.

Pesquisadores observam que esses esquemas se intensificam sempre que um vazamento de alto perfil aparece no espaço público — seja real ou falso. Mas os ataques de hackers esta semana não se limitaram ao Claude Code. O FBI alertou sobre uma séria ameaça à segurança nacional: criminosos invadiram ferramentas para vigilância telefônica legal — os chamados sistemas wiretap.

Esses sistemas são usados por órgãos de segurança e aplicação da lei dos EUA para conduzir investigações autorizadas. O acesso a eles abre a possibilidade de obter dados secretos sobre operações em andamento e identificar fontes classificadas. O FBI não divulgou detalhes sobre a invasão, mas enfatizou que a ameaça é sistêmica.

Simultaneamente, surgiram notícias de uma invasão da Cisco como parte de uma campanha em larga escala visando cadeias de suprimentos. Criminosos roubaram fragmentos do código-fonte da empresa. Isso representa um valor significativo: o código-fonte permite procurar por vulnerabilidades zero-day que podem ser exploradas em ataques direcionados contra infraestrutura corporativa em todo o mundo.

Ataques na cadeia de suprimentos continuam sendo uma das tendências mais perigosas em cibersegurança: um único fornecedor comprometido abre a porta para milhares de organizações que confiam em seus produtos. Todos os três incidentes compartilham um padrão comum: atacantes exploram confiança — em marcas, em ferramentas legítimas, em cadeias de parceria. Quando um usuário baixa um arquivo com um vazamento, confia em sua curiosidade.

Quando um sistema wiretap recebe uma solicitação, confia na autorização. Quando uma corporação usa software de um fornecedor, confia na cadeia de suprimentos. Os atacantes encontram e exploram metodicamente cada um desses elos.

Para o usuário médio, a conclusão é clara: qualquer arquivo com conteúdo exclusivo ou vazado de fontes não oficiais deve ser considerado potencialmente malicioso — independentemente de quão convincente pareça a descrição. Infostealers ocultos nesses arquivos comprometem não apenas um dispositivo, mas todos os serviços cujas senhas estão armazenadas no navegador. Se algo parece ser conteúdo exclusivo proibido — é provavelmente uma armadilha.