Este informe detalla un incidente de un ataque de malware, o lo que inicialmente parecía serlo, que afectó a un sistema que ejecutaba Claude Code v2.1.81. Callum McMahon, el autor, describe su análisis minuto a minuto de la situación, revelando que, aunque la situación fue caótica, no se detectó malware real, sino un problema de ejecución descontrolada de procesos.
¿Qué pasó? El sistema experimentó un fallo al apagarse, con un gran número de procesos (más de 11,000) ejecutándose simultáneamente. La raíz del problema se identificó en una cadena de procesos que involucraba zsh, uv, y múltiples instancias de Python 3.13. Un patrón recurrente en estos procesos era _PyRun_SimpleStringFlagsWithName, que se utilizaba para ejecutar código Python desde una cadena codificada en Base64. El autor explica que esta técnica es una práctica común en herramientas como la de Bash de Claude Code para pasar fragmentos de código a Python de forma segura, evitando problemas de escape de shell. La codificación Base64 es simplemente un mecanismo de transporte seguro.
La explosión de procesos fue probablemente causada por un bucle descontrolado en una herramienta o agente de Claude Code, o por un error en un script uv run que generaba procesos de forma recursiva. Afortunadamente, no se encontraron mecanismos de persistencia maliciosa (como tareas programadas o agentes de inicio sospechosos), y el sistema se limpió completamente tras un reinicio. Todos los procesos utilizados se ejecutaban con el intérprete de Python local, sin rastros de archivos de origen desconocidos.
¿Por qué es importante? Este incidente subraya la importancia de la monitorización y el control de procesos en entornos de desarrollo y despliegue, especialmente cuando se utilizan herramientas complejas como Claude Code. Aunque no se trató de un ataque malicioso, la situación podría haber escalado rápidamente si no se hubiera identificado y mitigado a tiempo.
Recomendaciones: El autor recomienda revisar si se estaba ejecutando un agente de Claude Code en un bucle antes del incidente. En caso de que el problema se repita, sugiere usar killall python3.13 antes de forzar el apagado del sistema. También se recomienda establecer un límite en el número de procesos que puede crear un usuario (usando ulimit -u 2048 en el archivo .zshrc) para prevenir ataques de tipo 'fork bomb'.