Claude Code Identifica Puerta Trasera de Malware en Repositorio de GitHub Durante Auditoría Técnica

Se utilizó Claude Code para realizar una auditoría de seguridad en un repositorio de GitHub antes de su ejecución, evitando un posible compromiso por malware. Al desarrollador se le contactó a través de LinkedIn sobre un rol contractual con una startup Fintech impulsada por IA y fue invitado a revisar su MVP en GitHub antes de una llamada.

Solicitud y Proceso de Auditoría

El desarrollador abrió el repositorio en VS Code y utilizó esta solicitud con Claude Code:

"Estás realizando una auditoría de diligencia técnica de este código. Dame una evaluación brutalmente honesta. Verifica la integridad del proyecto, la capa de IA/ML, la base de datos, la autenticación, los servicios backend, el frontend, la calidad del código y una estimación del esfuerzo. Sé específico. Haz referencia a nombres de archivos reales. No endulces las cosas."

Hallazgos Críticos

Claude Code identificó varios problemas de seguridad e integridad:

• Puerta Trasera de Ejecución Remota de Código: Encontrada en src/server/routes/auth.js. Cada vez que se ejecuta npm run dev, obtiene silenciosamente una URL remota y ejecuta cualquier código que devuelva con acceso completo al sistema (sistema de archivos, red, procesos). La ejecución ocurre en silencio con supresión de fallos.
• Implementación Falsa de Base de Datos: Los usuarios se almacenaban en un array simple que se reinicia en cada reinicio en lugar de una base de datos real.
• Sin Funcionalidad de IA/ML: El repositorio contenía solo datos simulados codificados con lógica básica basada en reglas, a pesar de que el README afirmaba tener aprendizaje automático, PLN y análisis predictivo.
• Engaño en el Frontend: El frontend recurre silenciosamente a datos falsos en cada fallo de la API, haciendo que las demostraciones parezcan pulidas independientemente de la funcionalidad real.

Contexto de Ingeniería Social

El ataque se dirigía a desarrolladores, freelancers y agencias invitados a revisar o contribuir a repositorios como parte de procesos de contratación o proyectos. La ingeniería social era pulida con mensajes profesionales de LinkedIn, documentación README convincente y tarifas atractivas (contrato remoto de $60–$100/hora). El repositorio parecía legítimo y estaba diseñado para fomentar la ejecución inmediata.

Prácticas de Seguridad Recomendadas

• Nunca ejecutes un repositorio desconocido sin auditarlo primero
• Usa Claude Code para escanear repositorios antes de la ejecución (la auditoría tomó una sola solicitud)
• Busca patrones de ejecución ofuscados antes de ejecutar npm run dev
• Sé sospechoso de repositorios donde la instalación activa scripts automáticos

El desarrollador informó que Claude Code es ahora un paso estándar en su proceso de incorporación para cada nuevo repositorio de cliente. Después de confrontar al contacto de LinkedIn con los hallazgos, la persona bloqueó inmediatamente al desarrollador.