Kaspersky avertizează asupra unor infostealere care imită instrumente AI populare

Cercetătorii Kaspersky au identificat o campanie malware care vizează dezvoltatorii aflaţi în căutarea instrucţiunilor de instalare pentru instrumente AI precum Claude Code, potrivit unui comunicat al companiei remis redacţiei.

Atacul începe atunci când utilizatorii caută online expresia „Claude Code download”. În partea superioară a rezultatelor pot apărea reclame sponsorizate care redirecţionează către pagini web ce imită documentaţia oficială de instalare pentru acest instrument, potrivit Kaspersky.

Pagina falsă reproduce aproape identic documentaţia legitimă şi este găzduită pe platforma Squarespace, ceea ce poate face dificilă identificarea fraudei. Utilizatorii care copiază şi execută comenzile de instalare ajung, de fapt, să instaleze programe malware care colectează informaţii sensibile, inclusiv credenţiale, date din portofele de criptomonede, sesiuni din browser sau alte fişiere confidenţiale.

În funcţie de sistemul de operare, comenzile maliţioase instalează diferite tipuri de infostealere. Pe sistemele Windows este distribuit malware-ul Amatera, care colectează date din directoarele utilizatorilor, din browsere şi din portofelele de criptomonede şi le transmite către un server la distanţă. Acest malware a fost observat anterior în campanii care folosesc tehnica de distribuţie ClickFix şi este operat în model Malware-as-a-Service.

Pe sistemele macOS este instalat infostealerul AMOS, un malware documentat anterior în mai multe campanii care vizează dispozitivele Apple.

Metode similare au fost folosite şi în campanii care imită alte instrumente AI populare pentru dezvoltatori, precum OpenClaw sau Doubao, atacatorii înregistrând domenii care distribuie fişiere infectate mascate drept descărcări legitime.

Kaspersky a raportat şi un caz similar în decembrie 2025, când un infostealer pentru macOS a fost distribuit prin reclame Google Ads. În acel caz, atacatorii au folosit o interfaţă de chat care imita un tutorial ChatGPT pentru instalarea Atlas Browser, instrucţiunile fiind găzduite pe un site ce părea asociat cu OpenAI.

Pentru a reduce riscul infectării, compania recomandă utilizatorilor să verifice atent linkurile de descărcare, să analizeze comenzile din linia de comandă înainte de a le executa, să evite ghidurile nesolicitate şi să utilizeze soluţii de securitate capabile să detecteze şi să blocheze programele malware.