maj 16, 2026 eBuilder ingår avtal kring SOC/MDR med en TechHub.
maj 11, 2026 eBuilder ingår avtal kring SOC/MDR och automatiserade pentester med ett förlag.
maj 8, 2026 eBuilder ingår avtal kring pentester med ett världsledande petrokemisk producent.
april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilders Complorer för cybersäkerhetsutbildning.
mars 2, 2026 Stort internationellt stålföretag väljer eBuilder som leverantör för Penetrationstestning.
mars 2, 2026 En kommunikations-/brandingbyrå väljer eBuilders Complorer för cybersäkerhetsutbildning.
Company News
mobile-menu-icon
Hot & Attacker

Falska Claude Code- och Gemini-installerare sprider en fileless infostealer

Blog Reading Time 5 Lästid / maj 28, 2026
Fake Claude Code and Gemini Installers Drop a Fileless Infostealer

Utvecklare som söker på Google efter Anthropics Claude Code eller Googles Gemini CLI dirigeras till välgjorda falska installationssidor som ber dem klistra in ett enda PowerShell-kommando i terminalen. Kör man det laddas en fileless infostealer direkt in i minnet, samlar in inloggningsuppgifter, session cookies och VPN-nycklar och skickar dem vidare till angriparen. Det äkta verktyget installeras samtidigt, så ingenting på skärmen ser fel ut.

Kampanjen flaggades först den 21 april 2026 av en oberoende forskare som skriver under @g0njxa på X. Säkerhetsföretaget EclecticIQ publicerade en fullständig analys den 21 maj och spårade verksamheten till en enda, ekonomiskt motiverad aktör som började registrera skadliga domäner i början av mars. De falska Claude Code-domänerna claudecode[.]co[.]com och claude-setup[.]com registrerades den 30 mars.

Det finns ingen CVE här och ingenting att patcha. Svagheten som utnyttjas är en vana: att kopiera ett kommando från en webbsida och köra det för att sidan ser ut som den riktiga dokumentationen.

Tricket är den parallella installationen

De falska sidorna erbjuder ingen nedladdning. De säger åt utvecklaren att klistra in en rad i terminalen, en irm | iex-konstruktion som leder Invoke-RestMethod vidare till Invoke-Expression. EclecticIQ konstaterade att skriptet gör två saker samtidigt. Ett dolt Shell.Application COM-objekt hämtar i tysthet andrastegs-infostealern från en setup-domän som gemini-setup[.]com och kör den i minnet, samtidigt som samma skript kör den riktiga npm install -g @google/gemini-cli.

Det legitima paketet installeras klart i terminalen. Utvecklaren ser ett fungerande verktyg och går vidare. Då har infostealern redan samlat in och skickat iväg datan.

Byggd för att köras spårlöst

Payloaden rör aldrig disken. Den patchar flaggan PSEtwLogProvider.m_enabled för att tysta PowerShells Event Tracing for Windows och stänger av Antimalware Scan Interface, så att den kan köra utan att utlösa signatur- eller heuristikbaserad upptäckt. Den laddar C#-typer vid körning för att gå runt övervakade cmdlets, läser Windows Credential Manager och kartlägger maskinen genom att lista aktiva processer.

Bredden på det som stjäls är stor: OAuth-tokens, CI/CD-uppgifter, företagets VPN-konfiguration, browser cookies och DPAPI-skyddade hemligheter, samt session cookies för Slack, Microsoft Teams, Discord och Telegram. Den hämtar även data från kryptoplånböcker och filer från molnmappar som Proton Drive, iCloud Drive, Google Drive, MEGA och OneDrive, och skickar allt krypterat till C2-servrar på events[.]msft23[.]com och events[.]ms709[.]com.

Den stulna session cookien är det farliga. Med den kan en angripare öppna offrets arbetsyta utan lösenord och utan MFA.

Vilka som drabbas, och vilka leverantören tror drabbas

EclecticIQ bedömer att kampanjen riktar sig mot utvecklare i USA och Storbritannien, utifrån aktörens användning av domäner med .co.uk, .us.com och .us.org. Det är en rimlig tolkning av infrastrukturen, men det är en slutsats dragen från domännamn, inte en bekräftad offerbild. Samma rapport listar bekräftade intrång hos organisationer inom offentlig sektor, elektronik, utbildning och livsmedel i Nord- och Sydamerika, Asien-Stillahavsområdet, Europa och Mellanöstern, vilket gör den faktiska spridningen bredare än domänvalen antyder.

En andra, överlappande operation som EclecticIQ följer under namnet InstallFix använde betald Google Ads för att lyfta nästan identiska falska Claude Code-sidor till toppen av sökresultaten. Samma lockbete, annan leverans: den ena köper placeringen, den andra manipulerar den.

Utvecklare är själva poängen. De har förhöjda behörigheter, åtkomst till kodförråd och nycklar in i supply chain, så en enda komprometterad arbetsstation kan öppna betydligt mer än en maskin.

Det finns inget att patcha, så ändra vanan

Installera från leverantörens egen domän, inte det första sökresultatet och inte en sponsrad annons. Bokmärk den officiella dokumentationen för Claude Code och Gemini CLI och använd den. Behandla varje sida som ber dig klistra in ett PowerShell-kommando i terminalen som fientlig tills du själv har bekräftat domänen.

För upptäckt: leta i kommandoradstelemetrin efter irm | iex-konstruktionen. Invoke-RestMethod och Invoke-Expression i kedja, eller deras alias, är en tillförlitlig indikator enligt EclecticIQ. Blockera och larma på de kända C2-domänerna.

Om en utvecklarmaskin har kört något av dessa kommandon räcker det inte med ett lösenordsbyte. En stulen session cookie förblir giltig tills sessionen avslutas, så återkalla OAuth-tokens, rotera CI/CD- och VPN-uppgifter och avsluta de aktiva sessionerna.

Källor

  1. SEO Poisoning Campaign Leverages Gemini and Claude Code Impersonation to Deliver Infostealer (EclecticIQ)
  2. Fake Gemini and Claude Code Sites Spread Infostealers Through SEO Poisoning (Infosecurity Magazine)
  3. SEO Poisoning Uses Fake AI Installers to Drop Infostealers (SOC Prime)
  4. Claude Fraud: When Trusted Tools Become the Attack Surface (7AI)

This post is also available in: English

Related News

Salt Typhoon Hits IBM Italy Subsidiary in Silent Two-Week Espionage Campaign

Salt Typhoon angrep IBM-dotterbolag i Italien under två veckors spionage

Cyber News Calendar icon maj 5, 2026
Bluekit Phishing Kit Turns Session Hijacking into a Point-and-Click Operation

Bluekit gör sessionskapning till ett klick

Cyber News Calendar icon maj 4, 2026
NCSC Handles 200 State Cyber Attacks as Britain Faces Four Weekly Incidents

NCSC hanterade 200 statliga cyberangrepp när Storbritannien möter fyra incidenter per vecka

Cyber News Calendar icon april 23, 2026

Nordkoreanska hackare kapade Axios-paket för 100 miljoner användare

Nordkoreanska statshackare komprometterade Axios npm-paket den 31 mars 2026 och infogade en cross-platform remote access trojan i en av JavaScripts mest använda HTTP-klienter. Angreppsfönstret varade…

Cyber News Calendar icon april 22, 2026
Cargo Thieves Exploit RMM Tools to Steal Freight Worth £5 Billion

Cyberbrottslingar använder RMM-verktyg för att stjäla gods värt miljarder

Cyber News Calendar icon april 20, 2026

Ta nästa steg - säkra er verksamhet

Säkerställ att ert företag är skyddat mot cyberhot. Kontakta oss så berättar vi mer.

Kontakta oss