În martie 2026, Kaspersky Threat Research a identificat o nouă campanie malware care vizează dezvoltatorii aflați în căutarea instrucțiunilor de instalare pentru Claude Code, un agent de dezvoltare creat de Anthropic. Atunci când utilizatorii caută „Claude Code download”, în partea de sus a rezultatelor apar reclame sponsorizate. Una dintre aceste reclame redirecționează utilizatorii către o pagină web malware care imită îndeaproape documentația oficială de instalare pentru Claude Code. Astfel, utilizatorii sunt păcăliți să instaleze programe malware care colectează informații sensibile, inclusiv credențiale, date din portofele crypto, sesiuni din browser și alte fișiere confidențiale. Campanii malițioase similare imită și alte instrumente AI populare, inclusiv OpenClaw.
Un exemplu de reclamă frauduloasă
Pagina falsă de documentație este identică vizual cu cea legitimă și este găzduită pe platforma de creare și găzduire de site-uri Squarespace. Deoarece pagina copiază întocmai instrucțiunile originale, utilizatorii pot să nu observe diferența atunci când copiază și execută comenzile de instalare.
O pagină Claude frauduloasă
Totuși, în loc să instaleze instrumentul pentru dezvoltatori, comenzile livrează malware pe sistemul victimei. În funcție de sistemul de operare, comenzile malițioase instalează diferite tipuri de infostealere:
- Sistemele Windows primesc Amatera, un malware de tip infostealer care colectează date din directoarele utilizatorilor, din browserele web și din portofelele de criptomonede, înainte de a trimite informațiile furate către un server la distanță. Amatera a mai fost observat anterior în campanii care folosesc tehnica de distribuție ClickFix și este operat în modelul Malware-as-a-Service (MaaS).
- Sistemele macOS primesc AMOS, un alt infostealer documentat anterior în mai multe campanii malware care vizează dispozitivele Apple. Acesta a fost descris anterior și de Kaspersky.
Cercetătorii Kaspersky au identificat și campanii malițioase similare care vizează alte instrumente AI populare, inclusiv OpenClaw și Doubao. Folosind aceeași metodă, atacatorii au înregistrat mai multe domenii și au distribuit fișiere care conțin infostealerul Amatera, mascându-le drept descărcări legitime pentru aceste instrumente.
În decembrie 2025, Kaspersky a detectat că atacatorii au răspândit un infostealer pentru macOS folosind Google Ads. O interfață de chat generată special, concepută pentru a semăna cu un tutorial ChatGPT, pretindea că îi ghidează pe utilizatori în instalarea Atlas Browser. Instrucțiunile malițioase păreau găzduite pe un site legitim, asociat cu OpenAI, ceea ce i-a ajutat pe atacatori să câștige încrederea utilizatorilor.
Pentru a rămâne protejați, Kaspersky recomandă:
- Verificați cu atenție link-urile de descărcare și asigurați-vă că acestea duc către site-urile oficiale ale proiectelor.
- Analizați instrucțiunile din linia de comandă înainte de a le executa, mai ales dacă au fost copiate din surse externe.
- Evitați să urmați ghiduri pe care nu le-ați solicitat în mod specific sau pe care nu le înțelegeți pe deplin.
- Utilizați soluții de securitate fiabile pentru endpoint, capabile să detecteze și să blocheze infostealerele și descărcările malware.
