Sahte Claude Kod Sayfası Geliştiricileri Hedef Alan Yeni Bir Bilgi Hırsızı Dağıtıyor Yazılım

Sahte Claude Kod Sayfası Geliştiricileri Hedef Alan Yeni Bir Bilgi Hırsızı Dağıtıyor

Sahte Claude Code kurulum sayfaları, geliştiricilerin cihazlarına sızarak tarayıcı verilerini çalan yeni bir bilgi hırsızı dağıtıyor.

Geliştiricilere yönelik yeni bir siber saldırı kampanyası, sahte Claude Code kurulum sayfaları aracılığıyla daha önce bilinmeyen bir bilgi hırsızı yayıyor. Ontinue'un Siber Savunma Merkezi tarafından 11 Mayıs'ta detaylandırılan kampanya, Nisan 2026'da altı günlük bir sürede kaydedilen üç operatör kontrollü alan adına kadar izlenebiliyor. Kurbanlar, "install claude code" için yapılan sponsorlu arama sonuçlarına tıkladıktan sonra sahte kurulum sayfasına yönlendiriliyor. Sayfa, meşru Claude Code dokümantasyonunun düzenini taklit ediyor ancak HTML'de değiştirilmiş tek satırlık bir kurulum komutu sunarak orijinal Anthropic ana bilgisayarını saldırgan kontrollü bir alan adıyla değiştiriyor. /install.ps1 dosyası, gerçek yükleyicinin birebir kopyasını döndürürken, sayfada görünen komut kurbanları farklı bir adrese yönlendiriyor.

Kullanıcının komutu yapıştırmasıyla birlikte, yaklaşık 600 KB boyutunda, yoğun şekilde gizlenmiş bir PowerShell yükleyicisi indiriliyor. Yükleyici, Chrome, Edge, Brave, Vivaldi, Perplexity Comet ve Arc gibi Chromium tabanlı tarayıcıları numaralandırıyor ve 4608 baytlık bir yerel yardımcıyı canlı bir tarayıcı sürecine enjekte ediyor. Bu yardımcının tek işlevi, Chrome 144'te tanıtılan IElevator2 COM arabirimini kullanarak App-Bound Encryption anahtarını kurtarmak. Bu teknik, ilk olarak 2024'ün sonlarında Glove Stealer'da belgelenen yaklaşıma benziyor ancak tasarım açısından farklılık gösteriyor. Ontinue, yardımcının ağ, dosya veya şifreleme içe aktarma işlemi yapmadığını belirtiyor. SQLite erişimi, arşiv oluşturma ve HTTPS dışarı sızması gibi tespit edilebilir etkinlikler yalnızca PowerShell katmanında gerçekleşiyor. Bu ayrım, ikili dosyaları tek başına inceleyen davranışsal kural kümelerini atlatmak için özel olarak tasarlanmış.

Ontinue'un derleme tarihine ilişkin kanıtları, örneğin Ocak 2026'daki Chrome 144 sürümünden sonraki 60 gün içinde oluşturulduğunu gösteriyor. Bu durum, Chromium değişikliklerini takip eden aktif olarak bakımı yapılan bir geliştirme çabasına işaret ediyor. Gömülü Edge IElevator2 IID'sindeki bir transkripsiyon hatası, Data3 alanındaki iki nibble'ın yer değiştirmesi nedeniyle ilk çağrının sessizce başarısız olmasına ve eski IElevator arabirimine geri dönülmesine neden oluyor. Ontinue, hatalı tanımlayıcının yüksek güvenilirlikli bir tespit imzası olarak ikiye katlandığını vurguluyor. Yükleyici, Windows zamanlanmış görevi aracılığıyla kalıcılık sağlıyor ve her dakika operatörün C2 sunucusunu sorguluyor. Ayrıca, İran, Rusya ve diğer Bağımsız Devletler Topluluğu (BDT) üyelerini kapsayan bir hariç tutma listesindeki bölgelerle eşleşen ana bilgisayarlarda erken çıkış yapıyor.

Sonuç ve Değerlendirme

Black Duck'ta yapay zeka araştırma mühendisi olan Vineeta Sangaraju, kampanyayı dikkate değer kılan şeyin hedef seçimi olduğunu söylüyor. "Geliştiriciler, bir kuruluşun en hassas varlıklarının anahtarlarını elinde tutar: fikri mülkiyet, bulut altyapısı, CI/CD boru hatları. Tehlikeye atılmış bir geliştirici iş istasyonu, kaynak kod depolarına, bulut ortamlarına ve alt yazılımlara sıçrayarak içeride kalmaz." Ontinue, savunmacıları PowerShell Kısıtlı Dil Modu'nu uygulamaya, betik blok günlüğünü etkinleştirmeye ve yeni kayıtlı alan adlarına karşı web içeriği filtrelemesi uygulamaya çağırıyor.

Paylaş: