Як повідомляє The Hacker News, у відкритий доступ потрапили приблизно 500 000 рядків коду та близько 2000 файлів TypeScript. Причиною став некоректно зібраний npm-пакет, у якому залишилися службові файли, що дозволяють відновити повну структуру проєкту.
Читайте также: Українець створив «цифрове кладовище». Як працює сервіс цифрових меморіалів Zhady з QR-кодами на пам’ятниках
Йдеться не про окремі фрагменти, а фактично про повну логіку роботи інструмента. У витоку є код, який відповідає за виконання системних команд, доступ до файлової системи, обробку запитів і взаємодію між внутрішніми компонентами. Це дає змогу зрозуміти, як Claude Code працює на рівні архітектури, а не лише через інтерфейс.
Окремо дослідники звернули увагу на внутрішні механізми запуску процесів. Зокрема, у коді описано, як інструмент виконує shell-команди, керує підпроцесами та обробляє результати їх виконання. Такі деталі можуть бути критичними з точки зору безпеки, оскільки дозволяють точніше підбирати сценарії атак.
У витоку також знайшли згадки про функції, які ще не були публічно представлені. Серед них режими автономної роботи, коли ШІ виконує завдання у фоновому режимі без постійного втручання користувача. Це фактично розкриває частину майбутнього розвитку продукту.
Читайте также: «Я забембався шукати роботу сам». Український розробник готовий заплатити до $10 000 за рекомендацію вакансії
Після інциденту з’явилися і практичні ризики для розробників. Зловмисники можуть створювати шкідливі пакети, які імітують офіційні інструменти або їхні залежності. У статті зазначається, що подібні спроби вже фіксуються в екосистемі npm, де атаки на ланцюг постачання стають дедалі поширенішими.
Інцидент стався на тлі серії атак у JavaScript-екосистемі, коли шкідливий код поширюють через залежності у популярних пакетах. У таких випадках достатньо встановити або оновити бібліотеку, щоб отримати компрометацію системи, тому витоки внутрішнього коду лише підсилюють ці ризики.
Раніше dev.ua писав про те, як популярну JavaScript-бібліотеку Axios, яку використовують у тисячах проєктів, скомпрометували через атаку на ланцюг постачання. У заражених версіях хакери сховали троян, який міг потрапити в застосунки разом з оновленням залежностей.