Claude Code Identifica Backdoor de Malware em Repositório GitHub Durante Auditoria Técnica

O Claude Code foi usado para realizar uma auditoria de segurança em um repositório do GitHub antes da execução, prevenindo um possível comprometimento por malware. O desenvolvedor foi abordado via LinkedIn sobre um papel de contrato com uma startup Fintech movida a IA e foi convidado a revisar seu MVP no GitHub antes de uma chamada.

Prompt e Processo de Auditoria

O desenvolvedor abriu o repositório no VS Code e usou este prompt com o Claude Code:

"Você está fazendo uma auditoria de due diligence técnica deste código. Me dê uma avaliação brutalmente honesta. Verifique a completude do projeto, camada de IA/ML, banco de dados, autenticação, serviços de backend, frontend, qualidade do código e estimativa de esforço. Seja específico. Referencie nomes reais de arquivos. Não suavize."

Descobertas Críticas

O Claude Code identificou vários problemas de segurança e integridade:

• Backdoor de Execução Remota de Código: Encontrada em src/server/routes/auth.js. Toda vez que npm run dev é executado, ele busca silenciosamente uma URL remota e executa qualquer código que for retornado com acesso total ao sistema (sistema de arquivos, rede, processos). A execução ocorre silenciosamente com supressão de falhas.
• Implementação Falsa de Banco de Dados: Os usuários eram armazenados em um array simples que é reiniciado a cada reinicialização, em vez de um banco de dados real.
• Nenhuma Funcionalidade de IA/ML: O repositório continha apenas dados simulados codificados com lógica baseada em regras básicas, apesar das alegações no README sobre aprendizado de máquina, PLN e análises preditivas.
• Engano no Frontend: O frontend silenciosamente recorre a dados falsos em toda falha de API, fazendo as demonstrações parecerem polidas independentemente da funcionalidade real.

Contexto de Engenharia Social

O ataque visava desenvolvedores, freelancers e agências convidados a revisar ou contribuir para repositórios como parte de processos de contratação ou de contrato. A engenharia social era polida com mensagens profissionais no LinkedIn, documentação convincente no README e taxas atraentes (contrato remoto de US$ 60–100/h). O repositório parecia legítimo e foi projetado para incentivar a execução imediata.

Práticas de Segurança Recomendadas

• Nunca execute um repositório desconhecido sem auditá-lo primeiro
• Use o Claude Code para escanear repositórios antes da execução (a auditoria levou um prompt)
• Procure por padrões de execução ofuscados antes de executar npm run dev
• Desconfie de repositórios onde a instalação aciona scripts automáticos

O desenvolvedor relatou que o Claude Code agora é uma etapa padrão em seu processo de integração para cada novo repositório de cliente. Após confrontar o contato do LinkedIn com as descobertas, o indivíduo imediatamente bloqueou o desenvolvedor.