Τον Μάρτιο του 2026, οι ερευνητές της Kaspersky εντόπισαν μια νέα κακόβουλη εκστρατεία που στοχεύει προγραμματιστές οι οποίοι αναζητούν οδηγίες εγκατάστασης για το Claude Code, ένα εργαλείο ανάπτυξης λογισμικού που δημιουργήθηκε από την Anthropic. Όταν κάποιος αναζητά στο διαδίκτυο τη φράση «Claude Code download», εμφανίζονται χορηγούμενες διαφημίσεις στην κορυφή των αποτελεσμάτων. Μία από αυτές τις διαφημίσεις ανακατευθύνει τους χρήστες σε μια ψεύτικη ιστοσελίδα που μιμείται πολύ πιστά τον επίσημο οδηγό εγκατάστασης του Claude Code. Έτσι, οι χρήστες εξαπατώνται και εγκαθιστούν κακόβουλο λογισμικό που συλλέγει ευαίσθητες πληροφορίες, όπως διαπιστευτήρια (credentials), δεδομένα από crypto wallets, συνεδρίες περιήγησης κι άλλα εμπιστευτικά αρχεία. Παρόμοιες κακόβουλες εκστρατείες μιμούνται και άλλα δημοφιλή εργαλεία AI, όπως το OpenClaw.
Η ψεύτικη σελίδα οδηγιών είναι οπτικά σχεδόν πανομοιότυπη με την αυθεντική και βρίσκεται στην πλατφόρμα δημιουργίας και φιλοξενίας ιστοσελίδων Squarespace. Επειδή η σελίδα μιμείται ακριβώς τον τρόπο γραφής των κανονικών οδηγιών, οι χρήστες συχνά δεν αντιλαμβάνονται τη διαφορά όταν αντιγράφουν και εκτελούν τις εντολές εγκατάστασης.
Ωστόσο, αντί να εγκαθιστούν το αληθινό πρόγραμμα, οι εντολές αυτές εγκαθιστούν κακόβουλο λογισμικό στο σύστημα του θύματος. Ανάλογα με το λειτουργικό που χρησιμοποιεί, εγκαθίστανται διαφορετικοί infostealers:
- Σε συστήματα Windows εγκαθίσταται το Amatera infostealer, ένα κακόβουλο λογισμικό που συλλέγει δεδομένα από φακέλους χρηστών, browsers και crypto wallets και τα στέλνει σε απομακρυσμένους Το Amatera έχει εμφανιστεί και σε άλλες εκστρατείες με τη μέθοδο διανομής ClickFix και λειτουργεί με μοντέλο Malware-as-a-Service (MaaS).
- Σε συστήματα macOS εγκαθίσταται το AMOS infostealer, μια άλλη περίπτωση που έχει καταγραφεί σε πολλές επιθέσεις που στοχεύουν συσκευές Apple. Η Kaspersky έχει περιγράψει στο παρελθόν τον τρόπο δράσης του.
Οι ερευνητές της Kaspersky εντόπισαν επίσης παρόμοιες μεθόδους που στοχεύουν κι άλλα δημοφιλή εργαλεία AI, όπως το Doubao. Με την ίδια προσέγγιση, οι κυβερνοεγκληματίες καταχώρησαν πολλαπλά domains και διένειμαν αρχεία που περιείχαν το Amatera, τα οποία παρουσιάζονταν ως επίσημες πηγές για την λήψη των εργαλείων.
«Η συγκεκριμένη μέθοδος μπορεί να αποδειχθεί εξαιρετικά επικίνδυνη, αφού εργαλεία ανάπτυξης AI όπως το Claude Code και το OpenClaw χρησιμοποιούνται ευρέως όχι μόνο από χομπίστες και άτομα που τους ενδιαφέρει ο αυτοματισμός αλλά και από επαγγελματίες προγραμματιστές σε μεγάλους οργανισμούς. Αν πέσουν θύματα παραβίασης, τότε μπορεί άθελά τους να θέσουν σε κίνδυνο μεταξύ άλλων, πηγαίο κώδικα από εργασίες που βρίσκονται σε εξέλιξη, εμπιστευτικά εταιρικά δεδομένα, στοιχεία ταυτοποίησης και ιδιωτικούς λογαριασμούς. Το γεγονός αυτό καθιστά τέτοιες καμπάνιες ιδιαίτερα επικίνδυνες για επιχειρήσεις που βασίζονται σε εργαλεία AI για ανάπτυξη λογισμικού», σχολιάζει ο Vladimir Gursky, ειδικός κυβερνοασφάλειας της Kaspersky.
Τον Δεκέμβριο του 2025, η Kaspersky εντόπισε επίσης επιτιθέμενους που διέδιδαν infostealer για macOS μέσω διαφημίσεων της Google. Μια ειδικά κατασκευασμένη διεπαφή συνομιλίας που έμοιαζε με tutorial του ChatGPT προσποιούνταν ότι καθοδηγεί τους χρήστες στην εγκατάσταση του Atlas Browser. Οι κακόβουλες οδηγίες έδιναν την εντύπωση ότι βρίσκονται σε νόμιμη ιστοσελίδα που σχετιζόταν με την OpenAI, ώστε να κερδίσουν την εμπιστοσύνη των χρηστών.
Για να παραμείνετε προστατευμένοι, η Kaspersky προτείνει:
- Να ελέγχετε προσεκτικά τα links πριν προχωρήσετε σε λήψη και να βεβαιώνεστε ότι οδηγούν στις επίσημες ιστοσελίδες των προγραμμάτων.
- Να εξετάζετε τις οδηγίες για τις γραμμές εντολών πριν τις εκτελέσετε, ιδιαίτερα αν τις αντιγράφετε από εξωτερικές πηγές.
- Να αποφεύγετε οδηγίες που δεν ζητήσατε συγκεκριμένα ή δεν κατανοείτε πλήρως.
- Να χρησιμοποιείτε αξιόπιστες λύσεις endpoint security που μπορούν να εντοπίζουν και να μπλοκάρουν infostealers και κακόβουλες λήψεις.
