Σύνοψη
- Τον Μάρτιο του 2026, εντοπίστηκε νέα κακόβουλη εκστρατεία που στοχεύει προγραμματιστές οι οποίοι αναζητούν το Claude Code της Anthropic.
- Ψεύτικες χορηγούμενες διαφημίσεις στην αναζήτηση οδηγούν σε σελίδες στο Squarespace που μιμούνται πιστά τις επίσημες οδηγίες εγκατάστασης.
- Ανάλογα με το λειτουργικό σύστημα, εγκαθίστανται τα infostealers Amatera στα Windows ή AMOS στο macOS.
- Στόχος των επιθέσεων είναι η υποκλοπή διαπιστευτηρίων, δεδομένων από crypto wallets και εμπιστευτικών αρχείων.
- Παρόμοιες μέθοδοι διανομής κακόβουλου λογισμικού εντοπίζονται και για άλλα δημοφιλή εργαλεία AI, όπως τα OpenClaw και Doubao.
- Η επίθεση είναι ιδιαίτερα κρίσιμη για οργανισμούς, καθώς μπορεί να οδηγήσει σε διαρροή εταιρικού πηγαίου κώδικα.
Η αυξημένη ενσωμάτωση εργαλείων τεχνητής νοημοσύνης στη ροή εργασίας των προγραμματιστών έχει δημιουργήσει μια νέα, αποδοτική επιφάνεια επίθεσης για τους κυβερνοεγκληματίες. Τον Μάρτιο του 2026, οι ερευνητές της Kaspersky εντόπισαν μια νέα κακόβουλη εκστρατεία η οποία στοχεύει άμεσα developers που αναζητούν οδηγίες εγκατάστασης για το Claude Code, το δημοφιλές εργαλείο ανάπτυξης λογισμικού που έχει δημιουργηθεί από την εταιρεία Anthropic. Η μεθοδολογία της επίθεσης βασίζεται στην εξαπάτηση του χρήστη, αξιοποιώντας ψεύτικα τεχνικά εγχειρίδια που οδηγούν στην εγκατάσταση ισχυρών infostealers.
Πώς λειτουργεί η νέα απάτη με τα AI εργαλεία;
Όταν ένας χρήστης αναζητά τον όρο «Claude Code download» στο διαδίκτυο, εμφανίζονται χορηγούμενες διαφημίσεις στις πρώτες θέσεις των αποτελεσμάτων. Μία από αυτές τις διαφημίσεις ανακατευθύνει τον προγραμματιστή σε μια ψεύτικη ιστοσελίδα, φιλοξενούμενη στην πλατφόρμα Squarespace, η οποία είναι οπτικά σχεδόν πανομοιότυπη με τον επίσημο οδηγό εγκατάστασης. Εκεί, οι χρήστες εξαπατώνται και εκτελούν εντολές που αντί για το AI εργαλείο, εγκαθιστούν κακόβουλο λογισμικό που υποκλέπτει διαπιστευτήρια, συνεδρίες περιήγησης, δεδομένα από crypto wallets και άλλα εμπιστευτικά αρχεία.
Η επιτυχία της συγκεκριμένης καμπάνιας οφείλεται στην ακριβή μίμηση του τρόπου γραφής των κανονικών οδηγιών. Οι developers συχνά δεν αντιλαμβάνονται τη διαφορά κατά την αντιγραφή και εκτέλεση των εντολών στο τερματικό τους. Είναι χαρακτηριστικό πως παρόμοιες κακόβουλες εκστρατείες δεν περιορίζονται μόνο στο Claude Code, αλλά μιμούνται και άλλα δημοφιλή εργαλεία, όπως το OpenClaw και το Doubao.
Διαφορετικά malware ανά λειτουργικό σύστημα
Οι επιτιθέμενοι έχουν φροντίσει ώστε ο κώδικας να προσαρμόζεται στο περιβάλλον του θύματος, εγκαθιστώντας διαφορετικούς infostealers ανάλογα με το λειτουργικό σύστημα.
Για τα συστήματα Windows, οι εντολές εγκαθιστούν το Amatera infostealer. Πρόκειται για ένα λογισμικό που συλλέγει δεδομένα από φακέλους χρηστών, browsers και crypto wallets, αποστέλλοντάς τα σε απομακρυσμένους server. Το Amatera, το οποίο λειτουργεί με μοντέλο Malware-as-a-Service (MaaS), έχει καταγραφεί και σε άλλες εκστρατείες χρησιμοποιώντας τη μέθοδο διανομής ClickFix. Οι κυβερνοεγκληματίες έχουν καταχωρήσει πολλαπλά domains, διανέμοντας αρχεία με το Amatera ως επίσημες πηγές λήψης των συγκεκριμένων AI εργαλείων.
Στον αντίποδα, τα συστήματα macOS δεν μένουν στο απυρόβλητο, καθώς σε αυτά εγκαθίσταται το AMOS infostealer. Το AMOS είναι μια γνώριμη απειλή για την Kaspersky, η οποία έχει περιγράψει στο παρελθόν τον τρόπο δράσης του σε πολλαπλές επιθέσεις εναντίον συσκευών Apple. Αξίζει να σημειωθεί ότι τον Δεκέμβριο του 2025, η Kaspersky είχε εντοπίσει ξανά επιτιθέμενους να διαδίδουν macOS infostealers μέσω διαφημίσεων της Google. Σε εκείνη την περίπτωση, χρησιμοποιήθηκε μια ειδικά κατασκευασμένη διεπαφή συνομιλίας που έμοιαζε με tutorial του ChatGPT, η οποία προσποιούνταν ότι καθοδηγεί τον χρήστη στην εγκατάσταση του Atlas Browser, δίνοντας την εντύπωση πως βρίσκεται σε νόμιμη ιστοσελίδα της OpenAI.
Ο κίνδυνος για το εταιρικό περιβάλλον
Οι επιπτώσεις αυτής της μεθόδου είναι ιδιαίτερα σοβαρές. Ο Vladimir Gursky, ειδικός κυβερνοασφάλειας της Kaspersky, σημειώνει:
Η συγκεκριμένη μέθοδος μπορεί να αποδειχθεί εξαιρετικά επικίνδυνη, αφού εργαλεία ανάπτυξης AI όπως το Claude Code και το OpenClaw χρησιμοποιούνται ευρέως όχι μόνο από χομπίστες... αλλά και από επαγγελματίες προγραμματιστές σε μεγάλους οργανισμούς.
Εάν ένας προγραμματιστής πέσει θύμα παραβίασης, μπορεί άθελά του να εκθέσει κρίσιμα εταιρικά δεδομένα. Η διαρροή μπορεί να περιλαμβάνει πηγαίο κώδικα από εργασίες που βρίσκονται σε εξέλιξη, στοιχεία ταυτοποίησης και ιδιωτικούς λογαριασμούς. Αυτό καθιστά τέτοιες καμπάνιες ιδιαίτερα επικίνδυνες για επιχειρήσεις που βασίζονται σε AI εργαλεία για την ανάπτυξη λογισμικού.
Για την προστασία των συστημάτων, η Kaspersky προτείνει τον προσεκτικό έλεγχο των links πριν από τη λήψη αρχείων, τη λεπτομερή εξέταση των οδηγιών για γραμμές εντολών πριν την εκτέλεσή τους (ειδικά από εξωτερικές πηγές), και τη χρήση αξιόπιστων λύσεων endpoint security. Επίσης, πρέπει να αποφεύγονται οδηγίες που δεν ζητήθηκαν ή δεν γίνονται πλήρως κατανοητές.
Με τη ματιά του Techgear
Η αναφορά της Kaspersky αποδεικνύει για άλλη μια φορά πως το cybercrime προσαρμόζεται ταχύτατα στα τεχνολογικά trends. Στην ελληνική πραγματικότητα, όπου πολλά in-house IT τμήματα και agencies υιοθετούν μαζικά τα AI coding assistants για να αυξήσουν την παραγωγικότητά τους, η τυφλή εμπιστοσύνη στα αποτελέσματα των μηχανών αναζήτησης είναι μεγάλο λάθος.
Η συνήθεια του γρήγορου copy-paste εντολών στο terminal από forums ή δήθεν επίσημα documentation, χωρίς έλεγχο του URL, μπορεί να κοστίσει ακριβά. Η απώλεια εταιρικού πηγαίου κώδικα (source code) ή κλειδιών πρόσβασης σε cloud υποδομές από ένα μολυσμένο εταιρικό laptop, υπογραμμίζει την ανάγκη για πολιτικές Zero Trust και αυστηρό έλεγχο στα εταιρικά endpoints, ανεξαρτήτως λειτουργικού συστήματος.
