3月31日、Anthropicのnpmパッケージ（@anthropic-ai/claude-code v2.1.88）に59.8MBのソースマップファイルが誤混入し、51.3万行のTypeScriptが流出した。

Anthropicは「顧客データへの影響なし」と声明を出し修正済みだが、流出コードを悪用した偽GitHubリポジトリがマルウェア（Vidar Stealer・GhostSocks）を配布中。3/31 00:21〜03:29 UTC（日本時間09:21〜12:29）更新ユーザーはトロイの木馬（plain-crypto-js）感染リスクあり。

今すぐやること3つ：

• ① 安全バージョンへのダウングレード（npm list @anthropic-ai/claude-code で確認）
• ② APIキー・シークレットのローテーション
• ③ 公式npm（npm install -g @anthropic-ai/claude-code）のみ使用

出典: The Hacker News / The Register