Claude Code Kaynak Kodu Sahtekârlığı 2026: npm Paketi ve Source Map Saldırısı ile JavaScript Troj...

2026 yılında Anthropic'ın Claude Code kaynak kodu adı altında dağıtılan sahte npm paketi, binlerce geliştiriciyi hedef alarak bir JavaScript trojan yaydı. Bu saldırı, bir yazılım hatası değil, bilinçli bir source map saldırısıydı — ve Anthropic sızıntısı adı verilen bu olay, yapay zeka topluluğunda güven krizine yol açtı.

Claude Code Kaynak Kodu Sahtekârlığı: 2026'da Nasıl Gerçekleşti?

2026'nın başlarında, Anthropic'ın resmi npm paketi @anthropic-ai/claude-code version 2.1.88, bir hata nedeniyle içeriğinde tam kaynak kodunu barındıran bir .map dosyası yayınladı. Bu dosya, geliştiricilerin hata ayıklama sırasında kullandığı normal JavaScript source map dosyasıydı — ancak içindeki veriler, Claude Code’un tam kod tabanını içeriyordu.

Bu durum, güvenlik araştırmacısı Chaofan Shou (@Fried_rice) tarafından 31 Mart 2026’da keşfedildi ve paylaşıldı. Ancak Anthropic, hatayı düzeltmeden birkaç saat sonra, saldırganlar bu legítim .map dosyasını kullanarak sahte bağlantılar yarattı.

1. Sahte npm paketini nasıl tanırsınız?

Şu işaretlere dikkat edin:

• npm üzerinden @anthropic-ai/claude-code dışında bir kullanıcı tarafından yayınlanan paketler
• GitHub reposunda README.md dosyası var ama package.json eksik veya sahte
• İndirme linki, resmi site (anthropic.com) dışında bir URL’ye yönlendiriyor
• “Özel build”, “yapay zeka entegrasyonu” gibi ilgi çekici etiketler kullanılıyor

2. Source map saldırısını nasıl engellersiniz?

JavaScript source map dosyaları, hata ayıklamada faydalı olsa da, kötü niyetli kişiler tarafından kod sızdırma aracı olarak kullanılabilir. Korunmak için:

• Her .map dosyasını manuel inceleyin — sourceContent alanı büyükse şüphelenin
• IDE’lerde (VS Code, WebStorm) source map otomatik indirmeyi devre dışı bırakın
• npm paketlerini indirmeden önce npm security advisories’i kontrol edin

3. Anthropic resmi kaynaklardan nasıl indirirsiniz?

Sadece şu kanallardan indirin:

• anthropic.com/claude-code (resmi web sitesi)
• npm install @anthropic-ai/claude-code — sadece resmi npm paketi
• GitHub: github.com/anthropic-ai (yalnızca resmi repolar)

JavaScript Trojan Nasıl Çalışıyor? Psikolojik Manipülasyonun Gücü

İndirilen "Claude Code" dosyaları, aslında bir JavaScript trojan içeriyordu. Bu malware:

• SSH anahtarlarınızı çalar
• Visual Studio Code ve JetBrains oturum verilerini sızdırır
• Yerel git deposuna "fix: optimize AI logic" gibi sahte commit’ler ekler
• GitHub Actions ve CI/CD pipeline’larını hedefler

Reklamlar, "Anthropic yetkilileri tarafından onaylandı" gibi sahte kanıtlarla destekleniyordu. The Register’a göre, 48 saat içinde 12.000+ indirme gerçekleşti ve %37’si şirket ortamında gerçekleşmişti.

Malware.news analizine göre, bu trojan, önceki GitHub Actions saldırılarından esinlenmişti: Hedef, geliştiricinin tam ortamını ele geçirmekti. Saldırganlar sadece veri çalmakla kalmadı, aynı zamanda projelerin güvenilirliğini sarsmak için kendi kodlarına zararlı commit’ler ekledi.

MalwareTips forumunda bir geliştirici şöyle yazdı: "Benim projemdeki tüm commit’ler bir hafta içinde 'fix: optimize AI logic' diye değiştirildi. Aslında bu, bir botun kendi kodumla çalıştığını gösteriyordu."

4. Source map saldırısından nasıl korunursunuz? (Geliştirici İçin Pratik Adımlar)

İşte teknik eylem planı:

1. Projenizdeki tüm .map dosyalarını silin: find . -name "*.map" -delete
2. Package.json dosyanıza ekleyin: "sideEffects": false
3. npm audit ve snyk ile düzenli kontroller yapın
4. GitHub Actions’da actions/checkout’dan sonra actions/cache kullanarak source map’leri önbelleğe almayın

5. Anthropic sızıntısı sonrası ne yapmalısınız?

Anthropic, bu olaydan sonra resmi blogunda bir güvenlik güncellemesi yayınladı. Eğer bu saldırıyı yaşadıysanız:

• SSH anahtarlarınızı değiştirin
• IDE oturumlarını tüm cihazlarda oturumdan çıkartın
• Git deposunuzu geçmişteki tüm commit’leri kontrol edin — şüpheli olanları silin
• İki faktörlü kimlik doğrulamayı (2FA) tüm hesaplarınızda etkinleştirin

Anthropic, bu olaydan sonra bir "Kod Doğrulama Sistemi" başlatmayı planlıyor — her kaynak kodu indirme isteğine blok zinciri tabanlı bir imza ekleyerek gerçekliği kanıtlayacak. Ancak bu sistem, kullanıcıların bilinçlenmesi olmadan yeterli olmayacaktır.

Claude Code kaynak kodu sahtekârlığı, yalnızca bir teknik açıklığı değil, yapay zeka ve geliştirici topluluğu arasındaki güven boşluğunu ortaya koydu. Gelecekte, bir AI aracının kaynak kodu, bir silah gibi kullanılabilir — ve bu, artık sadece bir teorik senaryo değil, gerçek bir tehdit.