网络犯罪分子通过设置冒充 Claude Code 的假下载页面,找到了一种新的目标,针对开发者和 IT 专业人员,Claude Code 是一个合法的 AI 编码助手。
这些欺骗性的页面欺骗用户下载看似官方安装包的内容,实际上却悄无声息地将信息窃取恶意软件部署到受害者的系统中。使用知名 AI 工具作为诱饵反映了威胁行为者利用人工智能平台的流行度以获取信任并绕过怀疑的趋势。该攻击最初通过以 it.com 为传递域的分发活动被观察到。受害者被诱导到这些网站,这些网站经过精心设计,模仿合法软件下载门户的外观和体验。一旦用户点击下载按钮,他们就没有获得任何真正的软件——相反,网站会在文件打开的那一刻触发恶意执行链。这些假页面设计得令人信服,几乎没有理由让用户在为时已晚前怀疑文件的真实性。网络安全分析师莫里斯·菲伦巴赫指出,此次攻击最终以基于 MSHTA 的信息窃取行为告终。他指出,mshta.exe 作为 Windows Microsoft 的合法二进制文件,仍然是防御者最重要的监控过程之一,因为攻击者经常滥用它来运行直接从远程源获取的恶意 HTML 应用程序(HTA)文件。Fielenbach 还强调,从远程源监控 HTA 执行是真实攻击者活动的高信号指标。更广泛背景符合一个广为人知的模式:威胁行为者利用人们对 AI 工具日益增长的信任作为武器。随着 AI 辅助编码平台在开发者社区中被广泛采用,犯罪分子发现了更多潜在受害者,他们在下载看似合法的生产力工具时可能不那么谨慎。这并非 Claude 主题诱饵首次被使用——早期活动也曾以同样方式利用 AI 品牌,显示这一趋势远非孤立。这种信息窃取者对任何受影响的用户都可能非常严重。一旦恶意软件在受害者的机器上运行,它能够收集浏览器存储的凭证、会话令牌及其他敏感数据,然后将其发送到攻击者控制的基础设施。
夜雨聆风
