Henüz belgelenmemiş bir bilgi hırsızı, sahte Claude Code kurulum sayfaları aracılığıyla dağıtılıyor. Bu kötü amaçlı yazılım, Chromium tabanlı tarayıcıları ele geçirerek App-Bound Encryption'ı atlatıyor ve geliştiricilerin iş istasyonlarından çerezler, şifreler ve ödeme verilerini sızdırıyor. Ontinue'un Siber Savunma Merkezi tarafından 11 Mayıs'ta detaylandırılan kampanya, Nisan 2026'da altı gün içinde kaydedilen üç operatör kontrollü alan adına kadar izlendi. Kurbanlar, 'install claude code' için sponsorlu arama sonuçlarına tıkladıktan sonra sahte kurulum sayfasına yönlendirildi.
Sahte sayfa, meşru Claude Code dokümantasyonunun düzenini taklit ediyor ancak HTML'de değiştirilmiş bir satırlık kurulum komutu içeriyordu. Bu komut, Anthropic'in orijinal sunucusu yerine saldırganın kontrolündeki bir alan adını işaret ediyordu. O alan adındaki /install.ps1 dosyası, orijinal yükleyicinin birebir kopyasını döndürüyordu, bu sayede otomatik URL tarayıcıları tamamen temiz bir PowerShell görürken, sayfadaki görünür komut kurbanları başka bir yere yönlendiriyordu. Bu teknik, geleneksel güvenlik taramalarını atlatmak için tasarlanmıştı.
Yapıştırılan komut çalıştırıldığında, yaklaşık 600 KB boyutunda ağır şekilde obfuscate edilmiş bir PowerShell yükleyicisi indiriyordu. Yükleyici, Chrome, Edge, Brave, Vivaldi, Perplexity Comet ve Arc gibi Chromium tabanlı tarayıcıları tarayarak 4608 baytlık bir native helper'ı canlı bir tarayıcı sürecine yansıtıyordu. Bu helper'ın tek işlevi, Chrome 144 ile tanıtılan IElevator2 COM arabirimini çağırarak App-Bound Encryption anahtarını kurtarmaktı. Bu teknik, 2024 sonlarında belgelenen Glove Stealer'a benziyor ancak tasarım açısından farklılık gösteriyor.
Sistem Güvenliği
Ontinue, yardımcının ağ, dosya veya şifreleme içe aktarmalarını açığa çıkarmadığını belirtti. SQLite erişimi, arşiv oluşturma ve HTTPS sızdırma gibi tespit edilebilir tüm etkinlikler PowerShell katmanında kaldı. Bu ayrım, özellikle native ikili dosyaları tek başına inceleyen davranışsal kural kümelerini atlatmak için tasarlanmıştı. Geliştiricilerin iş istasyonları, kuruluşların en hassas varlıklarına (fikri mülkiyet, bulut altyapısı, CI/CD hatları) açılan kapılar olduğu için hedef seçildi. Ontinue, savunmacıları PowerShell Kısıtlı Dil Modu'nu zorlamaya, komut bloğu günlüğünü etkinleştirmeye ve yeni kaydedilmiş alan adlarına karşı web içeriği filtrelemesi uygulamaya çağırdı.