Daha önce belgelenmemiş bir bilgi hırsızı, sahte Claude Kodu yükleme sayfaları aracılığıyla dağıtıldı; Chromium tarayıcılarını ele geçirerek Uygulamaya Bağlı Şifrelemeyi atladı ve geliştirici iş istasyonlarından çerezleri, şifreleri ve ödeme verilerini sızdırdı.
Kampanya, 11 Mayıs'ta Ontinue'nin Siber Savunma Merkezi tarafından ayrıntılı olarak açıklandı ve bu merkez, faaliyetin izini Nisan 2026'da altı günlük bir süre içinde kaydedilen, operatör kontrollü üç alan adına kadar takip etti. Kurbanlar, "claude kodunu yükleyin" sponsorlu arama sonuçlarına tıkladıktan sonra benzer kurulum sayfasına ulaştı.
Yem sayfası, meşru Claude Code belgelerinin düzenini taklit ediyordu, ancak standart Antropik ana bilgisayarı saldırganın kontrol ettiği bir alanla değiştirerek, doğrudan HTML'de değiştirilmiş tek satırlık bir kurulum komutu oluşturdu.
Önemli Gelişmeler
Bu etki alanındaki /install.ps1 dosyası, orijinal yükleyicinin birebir kopyasını döndürerek, otomatik URL tarayıcılarının tamamen temiz PowerShell gözlemlemesini sağlarken, sayfadaki görünür komut kurbanları başka bir yere gönderdi.
Sistem Güvenliği
Davranış Kurallarından Kaçmak İçin Tasarlanmış Yerli Bir Yardımcı
Nasıl Önlem Alınmalı?
Yapıştırılan komut yürütüldüğünde, yaklaşık 600 KB'lık oldukça karmaşık bir PowerShell yükleyicisi getirildi.
Yükleyici, aralarında Chrome, Edge, Brave, Vivaldi, Perplexity Comet ve Arc'ın da bulunduğu Chromium ailesi tarayıcıları sıraladı ve canlı bir tarayıcı sürecine yansıtıcı bir şekilde 4608 baytlık yerel bir yardımcı enjekte etti.
Teknik Analiz
Yardımcının tek işlevi, Uygulamaya Bağlı Şifreleme anahtarını kurtarmak için tarayıcının Chrome 144'te sunulan IElevator2 COM arayüzünü çağırmaktır. Teknik, ilk olarak 2024 sonlarında Glove Stealer'da belgelenen yaklaşımı yansıtıyor ancak tasarım açısından farklılık gösteriyor.
Yapay zeka destekli yönetilen aracılı SOC hizmetlerinin sağlayıcısı Ontinue, yardımcının hiçbir ağ, dosya veya kriptografik içe aktarma işlemini açığa çıkarmadığını belirtti. SQLite erişimi, arşiv oluşturma ve HTTPS sızması gibi algılanabilen tüm etkinlikler PowerShell katmanıyla sınırlıydı. Bölünme, yerel ikili dosyaları ayrı ayrı denetleyen davranışsal kural kümelerini yenmek için özel olarak tasarlanmış gibi görünüyordu.
Gelecekte Ne Bekleniyor?
Geliştiricileri hedef alan sahte yükleme sayfaları hakkında daha fazlasını okuyun: Kötü Amaçlı VS Kod Uzantıları Gelişmiş Bilgi Hırsızını Dağıtın
Yüksek Değerli Bir Pivot Olarak Geliştirici İş İstasyonları
Detaylar ve Etkileri
Ontinue'nun derleme tarihi kanıtları, numunenin yapımının Ocak 2026'da Chrome 144'ün piyasaya sürülmesinden sonraki 60 gün içinde olduğunu gösteriyor; bu da, Chromium değişikliklerini takip eden aktif olarak sürdürülen bir geliştirme çabasına işaret ediyor.
Gömülü Edge IElevator2 IID'deki, Data3 alanına aktarılan iki yarım baytlık bir transkripsiyon hatası, ilk çağrının sessizce başarısız olmasına ve eski IElevator arayüzüne geri dönüşü tetiklemesine neden olur. Ontinue, hatalı biçimlendirilmiş tanımlayıcının yüksek güvenliğe sahip bir tespit imzası olarak ikiye katlandığını vurguladı.
Uzmanların Görüşleri
Yükleyici, operatörün C2'sini her dakika yoklayan ve ana bilgisayarın bölgesinin İran, Rusya ve diğer Bağımsız Devletler Topluluğu (BDT) üyelerini de kapsayan bir hariç tutma listesiyle eşleşmesi durumunda erkenden çıkan bir Windows zamanlanmış görevi aracılığıyla kalıcılık sağladı.
Black Duck'ın yapay zeka araştırma mühendisi Vineeta Sangaraju, kampanyayı dikkat çekmeye değer kılan şeyin hedef seçimi olduğunu söyledi.
"Geliştiriciler bir kuruluşun en hassas varlıklarının (fikri mülkiyet, bulut altyapısı, CI/CD hatları) anahtarlarını elinde tutuyor" dedi. "Güvenliği ihlal edilmiş bir geliştirici iş istasyonu kontrol altında kalmıyor. Kaynak kodu depolarına, bulut ortamlarına ve alt yazılımlara yöneliyor."
Ontinue, savunucuları PowerShell Kısıtlı Dil Modu'nu uygulamaya, komut dosyası blok günlük kaydını etkinleştirmeye ve yeni kayıtlı alan adlarına web içeriği filtrelemesi uygulamaya çağırdı.