Im Zentrum der Kampagne steht laut Zscaler ein bösartiges GitHub-Repository des Nutzers „idbzoomh". Es gibt einen gefälschten Leak aus und bewirbt diesen mit angeblich „freigeschalteten Enterprise-Funktionen" und ohne Nutzungsbeschränkungen. Um möglichst viel Datenverkehr auf das untergeschobene Angebot zu lenken, ist das Repository für Suchmaschinen optimiert und erscheint bei Google-Anfragen wie „leaked Claude Code" unter den ersten Treffern.

Neugierige Nutzer laden den Forschern zufolge ein 7-Zip-Archiv herunter, das eine in Rust geschriebene ausführbare Datei mit dem Namen ClaudeCode_x64.exe enthält. Beim Start setzt dieser Dropper den verbreiteten Infostealer Vidar ab – zusammen mit dem Netzwerk-Proxy-Werkzeug GhostSocks.

Zscaler stellte fest, dass das schädliche Archiv häufig aktualisiert wird, sodass in künftigen Versionen weitere Schadkomponenten hinzukommen könnten. Die Forscher entdeckten zudem ein zweites Repository mit identischem Code, das jedoch eine Schaltfläche „Download ZIP" zeigte, die zum Zeitpunkt der Analyse nicht funktionierte. Nach Einschätzung von Zscaler steckt derselbe Akteur dahinter, der vermutlich verschiedene Verbreitungswege ausprobiert.

Trotz der Schutzmechanismen der Plattform wird GitHub immer wieder zur Verteilung getarnter Schadsoftware genutzt. In Kampagnen gegen Ende 2025 nahmen Angreifer unerfahrene Forscher oder Cyberkriminelle mit Repositories ins Visier, die vorgaben, Proof-of-Concept-Exploits für kürzlich offengelegte Schwachstellen zu hosten. Auch in der Vergangenheit reagierten Angreifer schnell auf öffentlichkeitswirksame Ereignisse, um Gelegenheitsopfer zu kompromittieren.