Изследователи на киберсигурността разкриха мащабна кампания за разпространение на зловреден софтуер чрез платени реклами в интернет. Атаката използва фалшиви линкове за изтегляне на популярния инструмент за програмиране Claude code, базиран на алгоритъма за изкуствен интелект на Anthropic. Основната мишена са разработчици на софтуер.
Атаката се осъществява чрез спонсорирани резултати от търсенето, които се появяват, когато потребителите търсят термини като „Claude code“ и свързани с това инструменти за разработчици.
Нападателите изглежда са купили реклами, които имитират легитимни списъци със софтуер и насочват потребителите към сайтове, проектирани да изглеждат като официални страници за изтегляне. Тези сайтове хостват злонамерени инсталатори.
След като се изпълни, злонамереният софтуер събира информация от машината на жертвата, включително идентификационни данни за браузъра, портфейли с криптовалута, токени за удостоверяване и други чувствителни данни.
Зловредният код може също така да извлича запазени пароли, бисквитки за сесии и данни от механизма за автоматично попълване.
Тази нова кампания показва колко бързо действат киберпрестъпниците, след като вече са намерили начин да се възползват от достъпността на популярните инструменти за разработчици с изкуствен интелект.
Асистентите за кодиране са популярни в инженерните екипи и се появяват все по-често из корпоративните софтуерни инвентари. Това ги прави притегателна сила за нападателите, търсещи достъп до машини на разработчици, които често притежават привилегировани идентификационни данни.
Убедителният дизайн на страницата играе централна роля. Фалшивите страници точно възпроизвеждат ресурсите за разработчици и порталите за изтегляне, което увеличава шанса потребителите да продължат с инсталацията – дори опитни разработчици, които обикновено биха забелязали подозрителни сайтове.
Фокусът върху работните станции на разработчиците говори за високото ниво на дързост на нападателите. Браузърите на програмистите често съхраняват идентификационни данни за хранилища на код, регистри на пакети и облачни конзоли, а машините могат също да съдържат токени за достъп до инструменти за сътрудничество.
Откраднатите идентификационни данни могат да отворят безброй пътища за „далекобойно“ нападение. При успех атакуващите биха могли да се разгърнат от една работна станция към цяла мрежа, да подправят разработвания код, съответно да засегнат клиентите нататък по веригата, ако компрометираният код се доставя чрез нормални канали за пускане.
От друга страна, използването на платените реклами отразява по-мащабен модел в разпространението на зловреден софтуер. Платената реклама предлага прецизно таргетиране и бърза итерация. Нападателите могат да променят домейни, да актуализират рекламния текст и да коригират ключови думи въз основа на ефективността.
