Sahte Claude Kod Sayfası Geliştiricilere Yönelik PowerShell Hırsızını Dağıtıyor Yazılım

Sahte Claude Kod Sayfası Geliştiricilere Yönelik PowerShell Hırsızını Dağıtıyor

Sahte Claude Code sayfaları, geliştiricilerin Chromium tarayıcılarından çerez ve şifreleri çalan bir PowerShell hırsızı yayıyor.

Daha önce belgelenmemiş bir bilgi hırsızı, sahte Claude Code kurulum sayfaları aracılığıyla dağıtılıyor. Bu kötü amaçlı yazılım, Chromium tabanlı tarayıcıları ele geçirerek App-Bound Encryption'ı atlıyor ve geliştirici iş istasyonlarından çerezler, şifreler ve ödeme verilerini sızdırıyor. Kampanya, Ontinue'nin Siber Savunma Merkezi tarafından 11 Mayıs'ta detaylandırıldı ve faaliyet, Nisan 2026'da altı günlük bir süre içinde kaydedilen üç operatör kontrollü alan adına kadar izlendi. Kurbanlar, 'install claude code' için sponsorlu arama sonuçlarına tıkladıktan sonra sahte kurulum sayfasına yönlendirildi.

Sahte sayfa, meşru Claude Code dokümantasyonunun düzenini taklit ediyor ancak HTML'de değiştirilmiş tek satırlık bir kurulum komutu sunuyor. Bu komut, Anthropic'in orijinal sunucusunu saldırgan kontrollü bir alan adıyla değiştiriyor. /install.ps1 dosyası, gerçek yükleyicinin birebir kopyasını döndürerek otomatik URL tarayıcılarının tamamen temiz bir PowerShell görmesini sağlarken, sayfadaki görünür komut kurbanları başka bir yere yönlendiriyor. Yürütüldüğünde, yapıştırılan komut yaklaşık 600 KB boyutunda, ağır şekilde gizlenmiş bir PowerShell yükleyicisi indiriyor.

Yükleyici, Chrome, Edge, Brave, Vivaldi, Perplexity Comet ve Arc dahil olmak üzere Chromium ailesi tarayıcıları numaralandırıyor ve canlı bir tarayıcı sürecine 4608 baytlık bir yerel yardımcıyı yansıtarak enjekte ediyor. Bu yardımcının tek işlevi, Chrome 144 ile tanıtılan tarayıcının IElevator2 COM arayüzünü çağırarak App-Bound Encryption anahtarını kurtarmak. Teknik, ilk olarak 2024'ün sonlarında Glove Stealer'da belgelenen yaklaşımı yansıtıyor ancak tasarımda farklılık gösteriyor. Ontinue, yardımcının ağ, dosya veya şifreleme içe aktarmaları içermediğini, tespit edilebilir tüm etkinliğin (SQLite erişimi, arşiv oluşturma ve HTTPS sızdırma) PowerShell katmanına hapsedildiğini belirtti. Bu ayrım, özellikle yerel ikili dosyaları tek başına inceleyen davranışsal kural kümelerini yenmek için tasarlanmış görünüyor.

Geliştirici iş istasyonları, hassas varlıklara (fikri mülkiyet, bulut altyapısı, CI/CD hatları) erişim sağladığı için yüksek değerli bir hedef. Black Duck'tan Vineeta Sangaraju, 'Bir geliştirici iş istasyonu tehlikeye girdiğinde, sadece o noktada kalmaz; kaynak kod depolarına, bulut ortamlarına ve alt yazılımlara sıçrar' dedi. Ontinue, savunmacıları PowerShell Kısıtlı Dil Modu'nu uygulamaya, betik blok günlüğünü etkinleştirmeye ve yeni kaydedilen alan adlarına karşı web içeriği filtrelemesi uygulamaya çağırdı.

Paylaş: