Waspada Malware Claude Code Palsu yang Mencuri Data Developer

Teman-teman developer, ada ancaman serius yang sedang beredar! Malware Claude Code palsu sedang aktif menyebar melalui GitHub dan Google Ads, menargetkan developer yang ingin menginstall tool AI coding dari Anthropic. Ini bukan hoax—kalau kita tidak hati-hati, password, credit card, browser cookies, session tokens, bahkan crypto wallets bisa dicuri dalam hitungan detik. Artikel ini akan breakdown lengkap modus operandi mereka dan cara protect diri kita semua.

Timeline: Dari Bocoran ke Malware

Cerita dimulai pada March 31, 2026, ketika ada leak source code Claude Code dari Anthropic. Para attacker langsung bergerak cepat. Hanya dalam beberapa hari di early April 2026, mereka sudah meluncurkan campaign malware yang sophisticated. Mereka memanfaatkan momentum—developer yang penasaran dengan leak atau yang memang butuh install Claude Code untuk kerjaan jadi target empuk.

Yang bikin scary, campaign ini sangat terorganisir. Mereka bukan cuma upload file sembarangan, tapi bikin entire ecosystem palsu yang terlihat legitimate. Dari fake GitHub repos sampai cloned landing pages dengan Google Ads berbayar. Ini bukan kerjaan amateur.

3 Cara Penyebaran Malware Claude Code Palsu

Kita perlu tahu ketiga infection vector ini biar bisa avoid:

1. Fake GitHub Repos

Attacker menggunakan akun GitHub dengan username “idbzoomh” yang upload 7-Zip archive berisi Rust dropper. Repo-nya dibuat terlihat meyakinkan dengan README yang detail, fake issue tracking, dan bahkan beberapa commit history untuk bikin seolah-olah ini project aktif. Kalau kita download dan extract, yang keluar bukan Claude Code tapi malware yang siap infect system kita.

2. InstallFix Cloned Pages via Google Ads

Ini yang paling dangerous karena muncul di hasil pencarian Google! Mereka beli Google Ads dan arahkan ke domain palsu claudecodeupdate.squarespace.com. Halaman ini adalah clone hampir perfect dari official Claude Code install page. Kalau kita tidak teliti cek URL, bisa saja kita jalankan command dari situs palsu ini. Mereka bahkan optimize landing page-nya dengan SEO dan copywriting yang convincing.

3. Fake “Leaked Source” ZIP Archives

Memanafaatkan rasa penasaran developer terhadap leak, attacker sebar ZIP archives yang mengklaim berisi leaked TypeScript code dari Claude Code. File-file ini beredar di forum developer, Discord servers, dan bahkan beberapa Telegram groups. Begitu kita extract dan coba “inspect” code-nya, malware langsung aktif.

Infection Flow: Begini Cara Kerja Malware di macOS

Untuk teman-teman yang pakai macOS, ini urutan kejadian kalau kita accidentally terinfeksi:

1. Kita visit fake install page dan run obfuscated curl command yang mereka sediakan
2. Command tersebut download zsh script yang kemudian extract gzipped+base64 payload
3. Binary sebesar ~15MB (Mach-O format) di-drop ke /tmp/helper
4. Muncul fake password dialog via osascript yang terlihat seperti system prompt asli
5. Saat kita masukin password, malware dapat akses penuh dan mulai exfiltrate data ke C2 server di woupp.com

Whole process ini bisa terjadi dalam kurang dari 30 detik. Dan yang paling scary, kita mungkin tidak sadar sama sekali sampai damage sudah terjadi.

Apa yang Dicuri Malware Ini?

Ada empat jenis malware yang terdeteksi dalam campaign ini, masing-masing dengan spesialisasi berbeda:

• Vidar (Info Stealer): Specialized dalam mencuri saved passwords, browser autofill data, dan system information. Vidar sudah aktif sejak 2019 dan terus di-update.
• GhostSocks (Proxy Malware): Mengubah device kita jadi proxy server untuk attacker. Internet kita bakal dipakai untuk route traffic mereka, bisa untuk aktivitas illegal tanpa kita tahu.
• Amatera (Browser Data Stealer): Fokus ke browser data—cookies, session tokens, history, bookmarks. Dengan session tokens, attacker bisa login ke akun kita tanpa perlu password.
• AMOS (macOS Stealer): Khusus target macOS user, mencuri crypto wallets, keychain data, dan file-file sensitif lainnya.

Bayangkan kalau keempat malware ini install bersamaan. Data apa yang tidak mereka akses?

Indikator Terinfeksi (IoC)

Kita perlu cek apakah system kita sudah terinfeksi. Berikut Indicators of Compromise yang harus diwaspadai:

Domains Mencurigakan

• claudecodeupdate.squarespace.com – Fake install page
• woupp.com – Command & Control server untuk exfiltration

C2 IP Addresses

• 188.114.97.3
• 188.114.96.3

Dropped Files (khusus macOS)

• ~/.username – File tersembunyi yang tidak seharusnya ada
• ~/.pass – Storage untuk stolen credentials

Kalau kita menemukan file-file ini atau detect network traffic ke domains/IPs di atas, segera ambil action!

Cara Proteksi Diri untuk Developer Indonesia

Ini langkah-langkah praktis yang bisa kita lakukan hari ini juga:

1. Selalu Verify Official Source

Claude Code yang legitimate hanya bisa diinstall dengan command ini:

npm install -g @anthropic-ai/claude-code

Tidak ada cara install lain. Tidak ada curl command. Tidak ada download ZIP. Titik.

2. Double-Check URL Sebelum Copy-Paste Command

JANGAN copy-paste command tanpa verifikasi! Selalu cek:

• Apakah domain benar-benar official? (anthropic.com)
• Apakah ada HTTPS yang valid?
• Apakah command-nya masuk akal?

3. Gunakan Password Manager

Dengan password manager, kita tidak perlu khawatir browser save password secara native. Kalau malware mencuri browser data, password kita tetap aman. Rekomendasi TN password manager yang bisa dipertimbangkan untuk manage credentials dengan lebih secure.

4. Install Antivirus yang Reliable

Untuk macOS user, jangan assume “Mac tidak kena virus”. Malware ini proof bahwa Mac juga target. Rekomendasi TN antivirus software yang bisa detect dan block malware sebelum damage terjadi.

5. Pertimbangkan Hardware Security Key

Untuk akun-akun critical (email utama, GitHub, banking), gunakan hardware security key. Walaupun password kita dicuri, attacker tidak bisa login tanpa physical key. Rekomendasi TN YubiKey security key untuk extra layer protection.

6. Monitor Network Traffic

Gunakan tools seperti Little Snitch atau LuLu untuk monitor outgoing connections. Kalau ada aplikasi yang coba connect ke domain mencurigakan, kita dapat alert langsung.

Kalau Sudah Terinfeksi: 5 Langkah Recovery

Jangan panic, tapi jangan juga wait and see. Lakukan ini segera:

Langkah 1: Disconnect dari Internet

Putuskan WiFi atau cabut ethernet. Ini stop exfiltration dan prevent attacker dari remote access lebih lanjut.

Langkah 2: Ganti Semua Password dari Device Lain

Gunakan device yang clean (HP atau laptop lain) untuk ganti password email, GitHub, banking, dan semua akun penting. Mulai dari yang paling critical.

Langkah 3: Revoke Session Tokens

Masuk ke security settings setiap service dan revoke all sessions. Ini logout semua device yang sedang login, termasuk device yang terinfeksi.

Langkah 4: Scan dan Clean System

Run full system scan dengan antivirus. Untuk macOS, manually check dan delete file-file IoC yang kita sebutkan di atas (~/.username, ~/.pass, /tmp/helper).

Langkah 5: Monitor Financial Accounts

Kalau malware sudah akses browser data, credit card info mungkin sudah bocor. Monitor statement bank dan credit card untuk transaksi mencurigakan. Pertimbangkan untuk request new card sebagai precaution.

Stay Vigilant, Teman-Teman!

Campaign malware Claude Code palsu ini adalah reminder keras bahwa sebagai developer, kita adalah high-value target. Attacker tahu kita punya akses ke codebases, credentials, dan kadang production systems. Mereka manfaatkan trust kita terhadap tools dan platforms yang kita pakai sehari-hari.

Informasi lebih detail tentang malware ini bisa dibaca di BleepingComputer, Malwarebytes, dan Zscaler. Untuk tracking ongoing discussion, cek GitHub issue terkait security advisories.

Share artikel ini ke teman developer lain. Semakin banyak yang aware, semakin susah attacker untuk sukses. Stay safe, dan selalu verify sebelum trust!