Fałszywe strony Gemini CLI i Claude Code rozprzestrzeniają infostealery przez SEO poisoning - Security Bez Tabu

Fałszywe strony Gemini CLI i Claude Code rozprzestrzeniają infostealery przez SEO poisoning

Cybersecurity news

Wprowadzenie do problemu / definicja

SEO poisoning to technika manipulowania wynikami wyszukiwania w taki sposób, aby użytkownik trafił na złośliwą stronę podszywającą się pod legalny serwis, dokumentację lub instalator. W najnowszej kampanii cyberprzestępcy wykorzystali popularność narzędzi AI dla programistów, przygotowując fałszywe strony instalacyjne dla Gemini CLI i Claude Code. Celem było skłonienie ofiary do ręcznego uruchomienia komendy PowerShell, która inicjowała infekcję infostealerem.

W skrócie

  • Atakujący pozycjonowali złośliwe domeny wysoko w wynikach wyszukiwania dla zapytań dotyczących instalacji Gemini CLI i Claude Code.
  • Ofiary trafiały na spreparowane strony imitujące oficjalną dokumentację i instrukcje wdrożeniowe.
  • Prezentowana komenda PowerShell uruchamiała legalnie wyglądającą instalację, a równolegle wykonywała złośliwy kod w pamięci.
  • Kampania była wymierzona głównie w deweloperów i miała na celu kradzież haseł, cookies, tokenów OAuth, danych CI/CD, informacji VPN oraz innych sekretów środowiskowych.

Kontekst / historia

W latach 2025–2026 widoczny był wzrost ataków wymierzonych w deweloperów, łańcuch dostaw oprogramowania oraz narzędzia używane w procesie tworzenia i wdrażania kodu. Cyberprzestępcy coraz częściej podszywają się pod znane pakiety, dokumentacje i instalatory, ponieważ użytkownicy techniczni są przyzwyczajeni do szybkiego kopiowania poleceń z terminala i instalacji narzędzi pojedynczą komendą.

W analizowanej kampanii wykorzystano właśnie ten schemat zachowania. Fałszywe strony naśladowały legalne instrukcje dla dwóch popularnych narzędzi AI. W przypadku Gemini CLI i Claude Code ofierze prezentowano komendy wyglądające wiarygodnie, ale zawierające elementy uruchamiające złośliwy ładunek. Aktywność kampanii została zauważona na początku marca 2026 roku, a infrastruktura podszywająca się pod Claude Code była rozwijana także pod koniec marca 2026 roku.

Analiza techniczna

Kampania łączy kilka warstw obejścia kontroli bezpieczeństwa. Pierwszą jest manipulacja widocznością w wyszukiwarkach, dzięki której użytkownik szukający oficjalnej instrukcji instalacji trafiał na domenę imitującą nazwę produktu. Drugą warstwą był klon strony instalacyjnej, wizualnie zbliżony do autentycznej dokumentacji. Trzecią warstwą była komenda PowerShell wyświetlana użytkownikowi do ręcznego skopiowania i uruchomienia.

Po wykonaniu polecenia uruchamiany był downloader. Analiza wskazuje, że skrypt wykonywał równolegle dwa działania: z jednej strony inicjował legalną instalację narzędzia, co zmniejszało podejrzenia użytkownika, a z drugiej uruchamiał ukryty proces PowerShell pobierający drugi etap z infrastruktury kontrolowanej przez atakujących i wykonujący go bezpośrednio w pamięci. Taki model utrudnia detekcję opartą wyłącznie na artefaktach plikowych.

Badacze opisali również mechanizmy ukierunkowane na przeglądarki oparte na Chromium. W pokrewnej analizie wskazano nadużycie interfejsu IElevator2, związanego z App-Bound Encryption, aby odzyskać klucze potrzebne do odszyfrowania danych przeglądarki, takich jak cookies i zapisane poświadczenia. Następnie skradzione informacje były pakowane i eksfiltrowane do serwerów C2. Dodatkowym elementem maskującym był fakt, że legalna instalacja mogła zakończyć się sukcesem, dzięki czemu użytkownik nie dostrzegał od razu oznak kompromitacji.

Z perspektywy detekcji zagrożenie jest szczególnie niebezpieczne, ponieważ złośliwa komenda może być generowana dynamicznie w kodzie HTML strony, zamiast być przechowywana jako prosty plik do pobrania. Ogranicza to skuteczność podstawowych mechanizmów ochronnych opartych na reputacji domen, prostych skanerach URL czy analizie statycznej.

Konsekwencje / ryzyko

Ryzyko dla organizacji jest wysokie, ponieważ celem są stacje robocze deweloperów, czyli systemy mające dostęp do kodu źródłowego, repozytoriów, sekretów CI/CD, tokenów sesyjnych, dostępów chmurowych i narzędzi administracyjnych. Kradzież takich danych może prowadzić do przejęcia kont developerskich, dalszego ruchu bocznego, nadużycia pipeline’ów budowania, manipulacji pakietami i kompromitacji środowisk produkcyjnych.

Szczególnie groźne są tokeny OAuth, ciasteczka sesyjne oraz dane VPN, ponieważ umożliwiają szybkie uzyskanie dostępu bez konieczności klasycznego łamania haseł. Jeśli atakujący pozyskają sekrety z przeglądarki, menedżerów haseł lub lokalnych konfiguracji narzędzi, mogą przejść od pojedynczej infekcji endpointu do pełnoskalowego incydentu naruszenia środowiska deweloperskiego i łańcucha dostaw.

W praktyce oznacza to, że pozornie proste zdarzenie, takie jak wejście na fałszywą stronę instalacyjną i uruchomienie jednej komendy, może zakończyć się utratą dostępu do repozytoriów, przejęciem sesji administracyjnych oraz wyciekiem danych organizacji.

Rekomendacje

Organizacje powinny ograniczyć zaufanie do wyników wyszukiwania jako źródła instrukcji instalacyjnych. Procedury wewnętrzne powinny wymuszać korzystanie wyłącznie z zatwierdzonych linków do dokumentacji, repozytoriów i rejestrów pakietów.

  • Wdrożyć listy dozwolonych źródeł dla instalacji narzędzi developerskich.
  • Monitorować uruchamianie PowerShell z parametrami charakterystycznymi dla pobierania i wykonania kodu w pamięci.
  • Wykrywać wzorce poleceń typu irm ... | iex, iwr ... | iex oraz podobne konstrukcje.
  • Inspekcjonować połączenia do nowo zarejestrowanych domen i anomalii DNS.
  • Chronić przeglądarki i monitorować dostęp do mechanizmów odszyfrowywania danych aplikacyjnych.
  • Separować uprawnienia deweloperów od kont uprzywilejowanych i od dostępu do produkcji.
  • Rotować tokeny, cookies sesyjne i sekrety po każdym podejrzeniu kompromitacji.

Zespoły SOC i IR powinny traktować instalację narzędzia z niezweryfikowanej strony jako potencjalny incydent bezpieczeństwa, nawet jeśli aplikacja działa poprawnie po instalacji. Warto sprawdzić historię PowerShell, artefakty pamięciowe, połączenia wychodzące, dostęp do baz danych przeglądarki, aktywność związaną z COM oraz oznaki eksfiltracji archiwów zawierających sekrety.

Z perspektywy użytkownika końcowego dobrą praktyką jest weryfikacja domeny znak po znaku, unikanie kopiowania komend z reklam sponsorowanych i przypadkowych wyników wyszukiwania, korzystanie z oficjalnych rejestrów pakietów oraz dokumentacji producenta, a także ograniczanie użycia kont z szerokimi uprawnieniami na stacjach roboczych.

Podsumowanie

Kampania podszywająca się pod Gemini CLI i Claude Code pokazuje, że narzędzia AI dla programistów stały się atrakcyjnym wabikiem dla operatorów infostealerów. Atak nie opiera się na złożonym exploicie po stronie ofiary, lecz na skutecznym połączeniu SEO poisoning, wiarygodnej imitacji dokumentacji oraz fileless execution przez PowerShell. Największym zagrożeniem pozostaje nie sam malware, ale wartość danych dostępnych z kompromitowanej stacji deweloperskiej: cookies, hasła, tokeny, sekrety pipeline’ów i dostęp do środowisk organizacji.

Źródła

  1. https://www.infosecurity-magazine.com/news/gemini-claude-infostealers-seo/
  2. https://blog.eclecticiq.com/seo-poisoning-campaign-leverages-gemini-and-claude-code-impersonation-to-deliver-infostealer
  3. https://www.theregister.com/security/2026/05/11/cookie-thieves-caught-stealing-dev-secrets/5238248
  4. https://support.claude.com/en/articles/14552382-your-first-day-in-claude-code
  5. https://www.npmjs.com/package/%40google/gemini-cli?activeTab=versions