Claude 4.7 y la Amenaza del Malware
En abril de 2026, desarrolladores que buscan herramientas de IA están siendo blanco de campañas de malware que explotan la popularidad de Claude. El código fuente de Claude Code se filtró accidentalmente el 31 de marzo de 2026 cuando Anthropic publicó un paquete npm con source maps que exponían 513.000 líneas de TypeScript en 1.906 archivos. Atacantes aprovecharon el evento para lanzar campañas activas con PlugX RAT y Vidar infostealer contra equipos de desarrollo.
En 30 segundos
- El 31 de marzo de 2026, el código interno de Claude Code se filtró accidentalmente vía source maps en npm: 513.000 líneas de TypeScript expuestas públicamente.
- Tres campañas activas de malware apuntan a desarrolladores que buscan “Claude”: sitios falsos con PlugX RAT, repositorios GitHub con Vidar infostealer, y Google Ads con lures de instalación.
- PlugX es un troyano de acceso remoto activo desde 2008; Vidar roba credenciales, API keys y sesiones de navegador. Combinados con GhostSocks, los atacantes mantienen acceso persistente.
- Una vulnerabilidad en Claude Code permite que una cadena de más de 50 comandos evite la verificación individual; modificar
ANTHROPIC_BASE_URLredirige requests (y API keys) a un servidor externo. - Anthropic lanzó Claude Opus 4.7 el 16 de abril de 2026 con capacidades de malware deliberadamente recortadas y mayor resistencia a prompt injection.
Claude 4 es un modelo de lenguaje grande desarrollado por Anthropic para generar texto, responder preguntas y asistir en tareas de programación y análisis complejos.
Qué pasó: El leak accidental de Claude Code
Claude Code es una herramienta CLI de Anthropic que permite a los desarrolladores interactuar con Claude directamente desde la terminal para tareas de programación. No es un producto menor: está integrado en miles de flujos de trabajo de desarrollo y tiene acceso directo al sistema de archivos, al historial de git y a las variables de entorno del desarrollador.
El 31 de marzo de 2026, Anthropic publicó sin querer un paquete npm que incluía source maps del bundle de Claude Code. Esos source maps contenían el código TypeScript original: 1.906 archivos, 513.000 líneas. Cualquiera que descargara la versión del paquete publicada en ese momento podía reconstruir la lógica interna completa de la herramienta.
El problema no es solo la exposición del código propietario (que en sí mismo ya es un incidente grave). El problema real es que el código revela exactamente cómo Claude Code maneja comandos, valida instrucciones y gestiona credenciales. Para alguien que quiera encontrar vectores de ataque, tener ese código es como recibir el plano de la caja fuerte.
Campañas de malware activas contra desarrolladores
Mientras el leak todavía era noticia fresca, tres campañas distintas ya estaban activas, todas apuntando a la misma audiencia: desarrolladores que buscan “Claude” o “Claude Code” online.
Sitios falsos con PlugX RAT
Según el análisis de Malwarebytes, atacantes registraron dominios que imitan el sitio oficial de Claude (variantes como clau-de.ai, claude-download.com y similares) y los posicionaron tanto en búsquedas orgánicas como en Google Ads. Al intentar descargar Claude desde esos sitios, el instalador entrega PlugX, un troyano de acceso remoto.
Repositorios falsos en GitHub con Vidar
BleepingComputer reportó repositorios en GitHub que se presentan como “versiones no oficiales” o “builds del leak” de Claude Code. Los commits tienen fechas recientes y READMEs prolijos para parecer legítimos. El payload: Vidar infostealer, que extrae credenciales del navegador, sesiones activas, billeteras crypto y API keys guardadas en el sistema.
Google Ads con lures de instalación
La tercera campaña compra anuncios en Google para términos como “descargar Claude Code” o “Claude CLI install”. Los anuncios parecen legítimos (algunos incluso muestran la URL de anthropic.com en el display), pero el destino real es un dominio controlado por atacantes. El instalador que bajan los desarrolladores instala malware antes de mostrar cualquier interfaz de Claude.
¿Qué tienen en común estas tres campañas? Que el desarrollador promedio no las va a detectar fácilmente. Los sitios están bien armados, los repositorios tienen estrellas compradas y los anuncios pasan el filtro visual básico. Te puede servir nuestra cobertura de resolver problemas con la Console API.
PlugX y Vidar: qué son y qué hacen en tu máquina
PlugX es un Remote Access Trojan con historia larga. Documentado desde 2008, fue usado originalmente por grupos APT chinos, pero hace años que circula en foros de cibercrimen como herramienta de alquiler. Una vez instalado, el atacante tiene acceso completo a la máquina: puede ejecutar comandos, moverse lateralmente por la red, exfiltrar archivos y mantener persistencia entre reinicios (se registra como servicio de Windows o tarea programada).
Vidar es otro bicho. No necesita persistencia larga, porque su trabajo es rápido: en minutos extrae contraseñas guardadas en Chrome y Firefox, cookies de sesión activas (lo que permite tomar sesiones autenticadas sin necesitar la contraseña), archivos de wallets de criptomonedas, y cualquier archivo que parezca una API key o credencial. En el contexto de un desarrollador, eso incluye archivos .env, configuraciones de AWS CLI, tokens de GitHub, y cualquier key de OpenAI o Anthropic que esté en el sistema.
Sobre GhostSocks: Zscaler identificó que algunas variantes del payload incluyen también un cliente SOCKS5 que convierte la máquina comprometida en nodo de la infraestructura de ataque (ponele que de repente tu IP aparece haciendo cosas raras en logs de seguridad de terceros, y vos no sabés nada). Esto dificulta la atribución y permite a los atacantes ocultar el origen de otras operaciones.
Vulnerabilidades críticas encontradas en Claude Code
El leak del código no solo desencadenó campañas de distribución de malware. Investigadores que analizaron el código expuesto encontraron vulnerabilidades en la propia herramienta.
Según el análisis de Devel Group, existe un problema con la validación de cadenas largas de comandos: cuando Claude Code recibe una secuencia de más de 50 instrucciones encadenadas, el sistema de verificación individual se vuelve ineficiente y puede ser bypaseado. Básicamente, si le mandás suficientes instrucciones juntas, el gate de seguridad no chequea cada una de forma independiente.
La segunda vulnerabilidad es más directa. Claude Code respeta la variable de configuración ANTHROPIC_BASE_URL para definir a qué servidor mandar sus requests. Si un proyecto malicioso (o un repositorio comprometido que bajaste de GitHub) tiene esa variable seteada a un servidor del atacante, todos los requests de Claude Code (incluyendo los que llevan tu API key en el header) van a ese servidor. Sin advertencia. Sin confirmación.
Abrís el proyecto, ejecutás Claude Code, y sin saber nada estás enviando tu API key de Anthropic a una infraestructura de terceros. El acceso a esa API key puede traducirse en cargos en tu cuenta, uso de tu cuota para generar contenido o hacer scraping a escala, o simplemente revenderla.
El Chapuzas Informático documentó además que proyectos maliciosos pueden incluir archivos de configuración que parecen legítimos (.claude/settings.json) pero que precargan instrucciones que desactivan warnings de seguridad para toda la sesión.
Impacto real en desarrolladores y equipos
Pensá en el perfil de alguien que usa Claude Code: tiene API keys de al menos dos o tres servicios de IA guardadas en su sistema, acceso a repositorios privados de GitHub con código propietario, credenciales de AWS o GCP en el CLI, y probablemente acceso a ambientes de staging o producción de clientes. Ya lo cubrimos antes en supervisar Claude Code en tiempo real.
El combo PlugX + Vidar contra ese perfil es especialmente dañino. Vidar hace el trabajo sucio rápido (en minutos extrae todo lo que puede) y PlugX se queda para acceso persistente. El atacante no necesita escalar privilegios en el servidor de producción: el desarrollador ya tiene acceso, y el atacante tiene al desarrollador.
| Activo en riesgo | Cómo se compromete | Impacto potencial |
|---|---|---|
| API key de Anthropic/OpenAI | Vidar extrae archivos .env / ANTHROPIC_BASE_URL hijack | Cargos económicos, uso no autorizado de cuota |
| Token de GitHub | Vidar extrae configuración de git credential manager | Acceso a repos privados, código propietario |
| Credenciales AWS/GCP | Vidar extrae ~/.aws/credentials, gcloud config | Infraestructura cloud comprometida, datos de clientes |
| Sesiones de navegador activas | Vidar roba cookies | Acceso a paneles de control sin contraseña |
| Máquina completa | PlugX RAT | Movimiento lateral en red corporativa |
Claude Opus 4.7 y las medidas que tomó Anthropic
En medio de todo esto, el 16 de abril de 2026 Anthropic lanzó Claude Opus 4.7 con algunas decisiones que vale la pena mencionar en este contexto.
Primero, Anthropic confirmó que recortó deliberadamente las capacidades del modelo en áreas relacionadas con generación de malware. Comparado con versiones previas (específicamente Mythos Preview, que era el nombre interno del modelo durante desarrollo), Opus 4.7 tiene restricciones más estrictas sobre generación de código ofensivo, exfiltración de datos y técnicas de evasión. No es que no pueda escribir código, sino que los safeguards automáticos del modelo son más agresivos en ese dominio específico.
Segundo, Opus 4.7 tiene mejor resistencia a prompt injection. En el contexto del problema de ANTHROPIC_BASE_URL, esto importa porque algunos ataques funcionan inyectando instrucciones en archivos del proyecto que Claude Code procesa.
¿Alcanza con eso? Honestamente, no del todo. Las campañas de malware activas no dependen de que el modelo genere código malicioso. Usan a Claude como señuelo para distribuir binarios precompilados. El modelo puede ser perfecto en seguridad y el ataque sigue funcionando igual.
Cómo protegerse: guía práctica para desarrolladores
Acá viene lo importante. Nada de esto es teórico.
Descargas y repositorios
Claude Code se instala exclusivamente desde npm install -g @anthropic-ai/claude-code. Cualquier otra fuente, repositorio de GitHub, torrent, “build del leak” o instalador que no venga directamente de npm o de anthropic.com es sospechosa. No la bajés. No importa cuántas estrellas tenga el repo.
Verificación de URLs
El dominio oficial es claude.ai y anthropic.com. Verificá que la barra de direcciones muestre exactamente eso antes de hacer cualquier descarga. Dominios como clau-de.ai, claude-official.com o cualquier variación son phishing. Relacionado: asegurar tu pipeline de CI/CD.
Configuración de ANTHROPIC_BASE_URL
Nunca deberías necesitar modificar ANTHROPIC_BASE_URL salvo que estés desarrollando un proxy propio con motivos muy específicos. Si abrís un proyecto y esa variable está seteada a algo que no sea la URL oficial de Anthropic, cerrá el proyecto e investigá de dónde vino. Antes de abrir repositorios de GitHub que uses poco o que vengan de fuentes desconocidas, revisá si hay archivos de configuración de Claude.
Gestión de API keys
Las API keys de Anthropic, OpenAI, GCP y similares no deberían vivir en archivos .env dentro de repositorios. Usá un gestor de secretos (AWS Secrets Manager, HashiCorp Vault, o al menos el keychain del sistema operativo). Si sospechás que tu API key fue comprometida, revocarla desde el panel de la plataforma tarda menos de dos minutos y es gratis.
2FA y revisión de actividad
Activá autenticación en dos pasos en GitHub y en tu cuenta de Anthropic. Revisá el log de uso de tu API key periódicamente: si ves requests que no reconocés, asumí que está comprometida y revocala. Para quienes usen Claude en contextos de seguridad legítimos (pentesting, investigación), Anthropic tiene un Cyber Verification Program para solicitar acceso a capacidades adicionales con contexto verificado.
Qué está confirmado / Qué no
| Afirmación | Estado |
|---|---|
| Leak de 513.000 líneas de código TypeScript de Claude Code el 31/3/2026 | Confirmado (Zscaler, múltiples fuentes) |
| Campañas activas con PlugX y Vidar usando Claude como lure | Confirmado (Malwarebytes, BleepingComputer) |
| Vulnerabilidad de ANTHROPIC_BASE_URL hijack | Confirmado (Devel Group) |
| Parche oficial de Anthropic para las vulnerabilidades de Claude Code | Pendiente de confirmación pública |
| Número de víctimas confirmadas de las campañas | No divulgado |
| Atribución de las campañas a grupos específicos | No confirmada públicamente |
Errores comunes que cometen los desarrolladores
Asumir que npm es siempre seguro. El paquete oficial de Anthropic en npm es legítimo; el problema estuvo en los source maps que se publicaron accidentalmente. Pero existen paquetes de npm con nombres similares a herramientas populares que son maliciosos (typosquatting). Siempre verificá el nombre exacto del paquete y el owner antes de instalarlo.
No revisar archivos de configuración antes de abrir proyectos externos. Si bajás un proyecto de GitHub para ver cómo está armado, antes de ejecutar nada revisá si hay archivos como .claude/settings.json, .env o scripts de setup que modifiquen variables de entorno. Dos minutos de revisión pueden ahorrarte un incidente.
Guardar API keys en texto plano en el filesystem. Cualquier malware tipo Vidar busca activamente archivos con patrones como sk-ant-, sk-proj- o AKIA (prefijo de AWS). Si tus keys están en un .env en el home directory, ya están expuestas ante cualquier infostealer que llegue a tu máquina.
Si querés ver cómo impacta esto, tenemos detalles en Claude 4.7 – Obsessed with Malware.
Preguntas Frecuentes
¿Qué malware está distribuyendo el fake de Claude Code?
Dos familias activas en abril de 2026: PlugX (troyano de acceso remoto que da control total de la máquina) y Vidar (infostealer que extrae credenciales, cookies de sesión, API keys y archivos sensibles). Algunas campañas también instalan GhostSocks para usar la máquina como proxy. Ninguno viene del Claude Code legítimo de Anthropic, sino de instaladores falsos distribuidos por sitios web fraudulentos y repositorios de GitHub no oficiales. Para más detalles técnicos, mirá proteger tus credenciales API.
¿Cómo protegerse del leak de código de Claude Code?
El leak en sí no te afecta directamente (es código que se expuso, no un ataque directo). El riesgo viene de los ataques que el leak facilitó: instalar desde fuentes falsas y tener proyectos que modifiquen ANTHROPIC_BASE_URL. Instalá Claude Code solo desde npm install -g @anthropic-ai/claude-code, no modifiques esa variable de configuración salvo necesidad verificada, y revisá proyectos externos antes de ejecutarlos.
¿Qué es PlugX y para qué lo usan los atacantes?
PlugX es un Remote Access Trojan documentado desde 2008. Originalmente asociado a grupos APT, hoy está disponible en foros de cibercrimen. Permite a un atacante ejecutar comandos de forma remota, acceder a archivos, moverse lateralmente por una red corporativa y mantener acceso persistente después de reinicios. En el contexto de estas campañas, el objetivo es comprometer la máquina del desarrollador para acceder a la infraestructura de su empresa.
¿Claude Opus 4.7 es seguro para desarrolladores?
El modelo en sí es seguro de usar desde canales oficiales. Anthropic lanzó Opus 4.7 el 16 de abril de 2026 con capacidades de malware deliberadamente reducidas y mejor resistencia a prompt injection. El riesgo no viene del modelo sino de los instaladores falsos que usan el nombre de Claude como señuelo. Si usás la herramienta descargada desde fuentes oficiales de Anthropic, el modelo no es el vector de ataque.
¿Qué vulnerabilidades tiene Claude Code confirmadas en 2026?
Dos vulnerabilidades documentadas: (1) cadenas de comandos de más de 50 instrucciones pueden bypassear la verificación individual de seguridad, y (2) la variable ANTHROPIC_BASE_URL puede ser modificada en archivos de configuración de un proyecto para redirigir todos los requests (incluyendo la API key) a un servidor del atacante. Ambas fueron identificadas tras el análisis del código filtrado en marzo de 2026. Anthropic no publicó un parche oficial confirmado para estas vulnerabilidades al cierre de esta nota.
Conclusión
Lo que hace que este conjunto de incidentes sea particularmente preocupante no es el malware en sí (PlugX y Vidar llevan años circulando), sino la combinación: un leak de código que expone la arquitectura interna de una herramienta con acceso profundo al sistema, explotado para campañas dirigidas específicamente a desarrolladores que tienen API keys, acceso a repositorios privados y credenciales de infraestructura cloud.
El perfil de riesgo del desarrollador promedio que usa Claude Code es alto. No porque la herramienta sea insegura de por sí, sino porque las personas que la usan tienen acceso a activos valiosos y tienden a confiar en herramientas que “parecen técnicas”. Esa confianza es exactamente lo que estas campañas explotan.
Por ahora: instalá solo desde npm oficial, no toques ANTHROPIC_BASE_URL, guardá tus API keys en un gestor de secretos, y activá 2FA en todas las plataformas que importan. No es ciencia de cohetes, pero son los controles que hubieran cortado el 90% de los vectores activos.
Fuentes
- Malwarebytes – Sitios falsos de Claude instalan malware con acceso remoto
- BleepingComputer – Leak de Claude Code usado para distribuir infostealer en GitHub
- Zscaler – Análisis del leak de código de Anthropic Claude Code
- Devel Group – Vulnerabilidades en Claude Code: robo de API keys al abrir un proyecto
- Help Net Security – Lanzamiento de Claude Opus 4.7
