Разработчиков атакуют через поддельные страницы установки AI-инструментов

Аналитики компании EclecticIQ в начале марта 2026 года выявили активную кампанию, нацеленную на пользователей инструментов Gemini CLI и Claude Code. Метод атаки основан на отравлении поисковой выдачи специально подготовленными сайтами. Когда разработчик ищет официальную страницу установки, вредоносный домен оказывается выше легитимного ресурса. Жертва переходит по ссылке, видит интерфейс, неотличимый от настоящей установочной страницы, и копирует команду для выполнения в терминале.

На этом этапе в дело вступает вредоносный код. Команда представляет собой сценарий PowerShell, который запускается скрытно, без вывода окон. Параллельно этот же сценарий устанавливает настоящий инструмент Gemini CLI из официального реестра npm. Разработчик видит успешное завершение установки, проверяет, что инструмент работает, и не подозревает, что в фоне уже действует стилер - программа, крадущая данные.

Злоумышленники используют две группы поддельных доменов. Для Gemini CLI это geminicli[.]co[.]com (сама страница-приманка) и gemini-setup[.]com (оттуда загружается полезная нагрузка). Чуть позже, 30 марта, та же группа зарегистрировала домены для Claude Code: claudecode[.]co[.]com и claude-setup[.]com. Структура адресов повторяется, и это говорит о том, что оператор использует единый шаблон, меняя только название продукта.

Код стилера полностью выполняется в памяти, не записываясь на диск. После запуска он сразу отключает две ключевые системы защиты Windows: трассировку событий и интерфейс антивирусного сканирования. Отчёт EclecticIQ показывает, что сам сценарий сильно запутан и содержит около 6800 строк фиктивных ветвлений. Для загрузки дополнительных библиотек на C# он использует встроенную команду Add-Type. Эти библиотеки помогают извлекать сохранённые пароли из системного хранилища учётных данных Windows, собирать информацию об экране и перечислять запущенные процессы, обходя стандартные командлеты.

Собранные данные включают логины, пароли, файлы cookie сессий и автозаполнение из всех основных браузеров - Chrome, Edge, Brave и Firefox. Но этим стилер не ограничивается. Он целенаправленно атакует рабочие среды разработчиков: извлекает токены из Slack, Microsoft Teams, Discord, Mattermost, Zoom и Telegram Desktop. Для злоумышленника действующий файл cookie из корпоративного чата означает доступ к внутренним каналам, общим файлам и интеграциям. Причём такой доступ обходит пароль и многофакторную аутентификацию.

Дополнительно малварь вытаскивает данные из инструментов удалённого доступа - WinSCP, PuTTY и OpenVPN. Она перечисляет локальные папки облачных хранилищ, включая Proton Drive, iCloud Drive, Google Drive, MEGA и OneDrive. Собирает все текстовые и офисные файлы с рабочего стола, документов и папки загрузок. И даже делает снимок обоев рабочего стола - это помогает идентифицировать жертву.

После сбора данных стилер отправляет их на сервер, который расположен на доменах events[.]msft23[.]com (кампания Gemini) или events[.]ms709[.]com (кампания Claude). Связь происходит по трём заранее заданным URL-путям: /take для конфигурации, /process для загрузки украденных данных и получения задач, /validate для подтверждения выполнения. Ответ от сервера содержит зашифрованный список задач. Если команда совпадает с идентификатором жертвы, малварь выполняет произвольный код по указанному адресу.

Эксперты провели анализ пассивных DNS-записей и обнаружили, что все домены-приманки размещены на одном облачном IP-адресе, принадлежащем нидерландскому хостинг-провайдеру. С этого адреса было развёрнуто более 30 поддельных сайтов. Они имитируют не только AI-помощников, но и популярные инструменты разработчиков: менеджер пакетов Node.js, систему управления пакетами Chocolatey, менеджер паролей KeePassXC и криптовалюту Monero. Выбор доменных зон указывает на то, что атаки нацелены преимущественно на пользователей в США и Великобритании.

Одна из поддельных страниц, nodejs-setup.co[.]com, предлагает установить Node.js через Chocolatey, но на деле загружает тот же стилер. Только сервер управления меняется на events[.]ms709[.]com. Такой подход рассчитан на привычку разработчиков и системных администраторов копировать команды с сайтов пакетных менеджеров одной строкой, не вчитываясь в детали.

Атака показывает тревожную тенденцию. Киберпреступники хорошо изучили поведение разработчиков. Они используют хайп вокруг AI-инструментов для кода, чтобы заставить даже опытного специалиста выполнить вредоносную команду. Компрометация рабочей станции разработчика даёт злоумышленнику доступ к репозиториям кода, цепочкам поставок программного обеспечения и привилегированным учётным записям предприятия. Один удачно взломанный эндпоинт может привести к масштабному инциденту.

Эксперты ожидают, что такие кампании будут множиться. Взлом альтернативных каналов связи, который подавил часть инфраструктуры старых стилеров в конце 2024 года, не решил проблему. Операционные затраты на проведение таких атак остаются низкими, а спрос на украденные учётные данные в подпольных магазинах - высоким. Защита от подобных угроз требует настройки строгих правил выполнения скриптов, ограничения PowerShell и обязательного контроля командной строки на наличие связок Invoke-RestMethod и Invoke-Expression.

Domains

• api.bio9438.com
• chocolatey.co.com
• chocolatey.net
• chocolatey-download.co.com
• chocolatey-setup.co.com
• claudecode.co.com
• claude-code.co.com
• claudecode-install.co.com
• claude-setup.com
• events.ms709.com
• geninicli.co.com
• get-monero.co.uk
• getmonero.us.com
• keepassxc.us.com
• keepassxc.us.org
• metrics.msft17.com
• olive3451.com
• openclow.co.com

SHA256

• 0e8c45d847f57095d9879c0da764ab02431db4d5d85f50c4fd5ba38353b79eed
• 1439d30ebeac3a6ccb9545acaa350783a83cc08746cb575e59ddb0efc77d412a
• 27e17661f5573f63b65e3a5cfe5bdca75acdc1911441b032781f7ebe125d9194
• 2d7a94e4a0fedcf31cdd43b06222add9d1888fecb2c5488afc658d08c3f40116
• 2d9ecc9321994558d0cc0e9d3fa9fdf600bacfe8758976d34f26f89c33bd5007
• 5071921cb1ca369fe8f7af522a00373c8c85e4357f7ea1879d2cb4ae791797d6
• 5c6a2c73f59fd8defbf118f87e5c88ba62e3067f8e8c0ed104f3f188fa0d959d
• 64d2a9a49e27d89f1b3489d7db29c3a3a12b4b090f59c24b694c239cb55db262
• 65e1a542bb7d995cc4aa6c71191da125f14f99ca03da7266f5b071440d6d229a
• 7c2a9ad5fcf489d1844f51830242f6dd9dfc203be6de3ceb07a4f6dd21c9f1a3
• 80ffc86673bd8c8bd5862bbe961323a822b23c94df48c685162c571445552faa
• 89d634c8471382ff9c6fd966008ad5c376d7a0edae8f799eb569837170f2373d
• 9c87e8162b39fbb773c416006b16f8e34aca53372d1b2d4a584df0ffc69ad333
• a1c5e1d9bdc1a931c11ac6fdfdff1fbc69ff88521cf443cb174f9720a05fe72d
• a31ae1eef3261c36b465255e624fb7ac5899bf2a9823564ba792fac8346723aa
• a6525b37b0cc5339df375e17a0c10772b50c9d425001b0c3a9dada995c7f62dd
• aa350580ae5ea46544ffa15c324ab4225dff0dcc5842ac5ca8e2dc4018e5ffad
• ae8f70dad97fedecd707977ca22fd6f656c64c0dac96e03f0f4a6c04d0693f59
• ae9bc11adb457930d402844bd3bf3af8ea7c13fdb7ea269fbe73877b18af1ca8
• b37ee243518221017bab0eb4b54b5431571cc21e54113698ce49a89b89993754
• bb78f024c4d8b5a6a128aacb498acad025a234a6b25fde36ff2e14601134555f
• be2ff065a232a3a6f187f9fb03a6c1b368dff3d2ba0966777b1f5503aa5ecd16
• c213ce07b5791abd334ff749b5f05ecc6b40772d35ef4388b5f576bc3e619765
• c416052c8ac6bfb78b7f0c46c568c528ead33501149661f1d9ecb1861269f8fa
• c47610c9df3fb101b0e99f2ac12589db653464edf12cebaa2c67fd33fc7715f3
• de34f2f93b74e049a08074c779a863a87a85a403594b8e220b1fba15112e6386
• dfd21a363f4994794f821d76ca61c834882a51b5c6f7b95627b70789462149e3
• efbf87447d93f4232b1169920f75c2066d19863ebc28fb2d2662353dc4ef61d8
• ff81cb9263fcde5870a0748fd6af2d30a4ba864415c15ca14827d0dd723eb60c