Daha önce belgelenmemiş bir bilgi hırsızı, sahte Claude Code kurulum sayfaları aracılığıyla dağıtılıyor. Bu kötü amaçlı yazılım, Chromium tabanlı tarayıcıları ele geçirerek App-Bound Encryption'ı atlatıyor ve geliştirici iş istasyonlarından çerezleri, parolaları ve ödeme verilerini sızdırıyor. Ontinue'un Siber Savunma Merkezi tarafından 11 Mayıs'ta detaylandırılan kampanya, Nisan 2026'da altı gün içinde kaydedilen üç operatör kontrollü alan adına kadar izlendi. Kurbanlar, 'install claude code' için sponsorlu arama sonuçlarına tıkladıktan sonra sahte kurulum sayfasına yönlendirildi.
Sahte sayfa, meşru Claude Code dokümantasyonunun düzenini taklit ediyor ancak HTML içinde doğrudan değiştirilmiş tek satırlık bir kurulum komutu görüntülüyordu. Meşru Anthropic sunucusu yerine saldırgan kontrolündeki bir alan adına yönlendirme yapan bu komut, /install.ps1 dosyasını indiriyor. İlginçtir ki bu dosya, orijinal yükleyicinin birebir kopyasını döndürüyor, böylece otomatik URL tarayıcıları tamamen temiz bir PowerShell görürken sayfadaki görünür komut kurbanları başka bir yere yönlendiriyor. Çalıştırıldığında ise komut, yaklaşık 600 KB boyutunda ağır şekilde obfuscate edilmiş bir PowerShell yükleyicisini getiriyor.
Yükleyici, Chrome, Edge, Brave, Vivaldi, Perplexity Comet ve Arc dahil olmak üzere Chromium ailesi tarayıcıları tarar ve canlı bir tarayıcı işlemine 4608 baytlık bir yerel yardımcıyı yansıtarak enjekte eder. Bu yardımcının tek işlevi, Chrome 144 ile tanıtılan IElevator2 COM arabirimini çağırarak App-Bound Encryption anahtarını kurtarmaktır. Bu teknik, ilk olarak 2024 sonlarında Glove Stealer'da belgelenen yaklaşımı yansıtıyor ancak tasarım açısından farklılık gösteriyor. Ontinue, yardımcının ağ, dosya veya şifreleme içe aktarması yapmadığını; SQLite erişimi, arşiv oluşturma ve HTTPS sızdırma gibi tespit edilebilir etkinliklerin PowerShell katmanında sınırlı kaldığını belirtiyor. Bu ayrım, yerel ikili dosyaları izole bir şekilde inceleyen davranışsal kural setlerini atlatmak için özel olarak tasarlanmış görünüyor.
Önemli Gelişmeler
Ontinue'un derleme tarihi kanıtları, örneğin Ocak 2026'daki Chrome 144 sürümünden sonraki 60 gün içinde oluşturulduğunu gösteriyor; bu da geliştiricilerin yukarı akış Chromium değişikliklerini aktif olarak takip ettiğine işaret ediyor. Yükleyici, Windows zamanlanmış görevi aracılığıyla kalıcılık sağlıyor ve her dakika operatörün C2 sunucusunu sorguluyor; İran, Rusya ve diğer Bağımsız Devletler Topluluğu üyeleri gibi ülkeleri içeren bir hariç tutma listesindeki bölgelerde erken çıkış yapıyor. Black Duck'tan Vineeta Sangaraju, hedef seçiminin kampanyayı dikkate değer kıldığını belirterek, 'Geliştiriciler, bir kuruluşun en hassas varlıklarının anahtarlarını ellerinde tutar: fikri mülkiyet, bulut altyapısı, CI/CD boru hatları. Tek bir geliştirici iş istasyonunun tehlikeye girmesi, kaynak kodu depolarına, bulut ortamlarına ve alt yazılımlara sıçrar' dedi. Ontinue, savunmacıları PowerShell Kısıtlı Dil Modu'nu uygulamaya, betik bloğu günlüğünü etkinleştirmeye ve yeni kaydedilen alan adlarına karşı web içeriği filtrelemesi uygulamaya çağırıyor.