用AI工具作诱饵:假冒Claude Code和Codex页面通过Google Sites传播内存恶意

网络犯罪分子找到了一种利用AI开发者工具热潮的新型攻击手段。安全研究人员发现，一个活跃的ClickFix攻击活动正在利用托管在Google Sites上的假冒页面，模仿Claude Code和OpenAI Codex等热门AI工具，诱骗用户运行命令，从而悄无声息地窃取设备中的凭证和其他敏感数据。这种攻击手法的独特之处在于，没有任何传统意义上的文件被下载，整个恶意操作在内存中静默运行，使得标准安全工具极难捕捉到它的行踪。由于网络活动看起来只是正常的PowerShell通信流量，攻击在系统被入侵的最初阶段会极大地降低可见性。

Google Sites页面承载着合法谷歌域名的天然信任，大多数用户在访问这类页面时不会多想。攻击者正是利用了这种信任。受害者被引导至一个精心设计的Google Sites页面，该页面看起来像正版的Claude Code或Codex安装指南。页面会指示用户执行一条mshta命令，这是Windows内置的合法实用程序。用户执行这条命令后，整个攻击链便随之启动。接下来，一个多阶段的PowerShell序列开始在后台运行。攻击者还使用了隐写术，将恶意载荷隐藏在图像文件中，仅在运行时才提取出来。最终，外壳代码被部署并在正在运行的PowerShell进程中完全执行，整个过程从未以传统杀毒软件能够标记的方式接触磁盘。

整个执行链条快速且隐蔽。Google Sites诱饵页面指向mshta命令，该命令触发PowerShell分阶段载荷，然后从图像中提取隐藏的恶意载荷，最后在内存中运行外壳代码，窃取浏览器数据、电子邮件凭证和加密货币钱包信息，并将所有数据发送到攻击者控制的远程服务器。被窃取的数据包括保存的浏览器密码、电子邮件凭证和加密货币钱包信息，所有这些都被发送到攻击者控制的服务器。经常使用AI编码工具的开发者和专业人士面临特别高的风险，因为他们最有可能毫不犹豫地遵循命令行安装说明。

这种攻击中隐写术的使用反映了攻击者设计工具方式的更广泛转变。通过将外壳代码隐藏在图像像素中而非使用独立的可执行文件，攻击者减少了留在受害者机器上的工件数量。安全运营中心团队在事后几乎没有东西可以调查。由于恶意进程运行在PowerShell等合法Windows程序内部，网络监控工具可能会将出站流量解读为完全正常的活动。这种操作层面的伪装使得在没有行为检测机制的情况下防御这类攻击变得尤其困难。

安全研究人员建议，对任何要求你复制粘贴命令的网页保持高度警惕，即使该网站看起来是官方网站。用户应始终通过工具的官方文档或其原始GitHub仓库来验证安装说明，而不是遵循搜索结果或不熟悉网站的提示。组织还应部署能够进行行为分析的端点检测工具，即使在没有任何传统恶意软件文件写入磁盘的情况下，也能识别可疑的PowerShell活动。这一事件再次提醒所有技术从业者，在AI工具日益普及的今天，便利性和安全性之间的平衡需要更加谨慎地把握。