Mart 2026’da Anthropic’in Claude Code adlı kodlama asistanını hedef alan yeni bir zararlı kampanya tespit edildi. Sıralanan anahtar kelime aramalarında, Claude Code indir ya da Claude Code download gibi ifadeler arama sonuçlarının üst kısmında sponsorlu reklamlara yol açıyor. Bu reklamlardan biri, kullanıcıları Claude Code’un resmi kurulum talimatlarını taklit eden bir sayfaya yönlendiriyor ve bu sahte sayfa Squarespace üzerinde barındırılıyor. Ancak kullanıcılar kurulum komutlarını çalıştırdıklarında zarar verebilecek bir yazılımı kurmaya sürükleniyorlar ve bu süreçte kimlik bilgileri, kripto cüzdanları, tarayıcı oturumları ve diğer hassas veriler tehlikeye giriyor.
Bu sahte dokümantasyon sayfası, orijinaliyle neredeyse görsel olarak aynı olacak şekilde tasarlanıyor ve kullanıcılar kurulum talimatlarını kopyalayıp yapıştırırken farkı anlamayabiliyor. Ama komutlar, geliştirici aracı kurmak yerine kurbanın sistemine zararlı yazılımı indirmek üzerine odaklı. Farklı işletim sistemlerinde bu zararlı yazılımlar da değişkenlik gösteriyor:
- Windows için, kullanıcı dizinleri, tarayıcı geçmişi ve kripto para cüzdanlarındaki verileri toplayıp merkezi bir sunucuya ileten Amatera adlı bilgi hırsızı devreye giriyor. Amatera, daha önce ClickFix dağıtım tekniğiyle de kullanılmış bir MaaS modeline sahip zararlı olarak biliniyor.
- macOS için ise Apple cihazlarına yönelik daha önce raporlanan AMOS adlı bir başka bilgi hırsızı devreye girebiliyor. Bu zararlı, Kaspersky tarafından da daha önce belgelenmişti.
Ayrıca Kaspersky, OpenClaw ve Doubao gibi popüler yapay zeka araçlarını hedef alan benzer kampanyaların da tespit edildiğini duyurdu. Saldırganlar aynı yöntemi kullanıp çok sayıda alan adını kaydediyor ve meşru indirme dosyaları gibi görünmesi için paketler içinde Amatera bilgi hırsızlığını dağıtıyorlar. Kaspersky siber güvenlik uzmanı Vladimir Gursky, konuyla ilgili olarak şu değerlendirmeyi paylaştı: “Bu kampanya önemli riskler barındırıyor. Claude Code ve OpenClaw gibi yapay zeka destekli araçlar yalnızca meraklı kullanıcılar tarafından değil, aynı zamanda kurumsal ortamlarda çalışan profesyoneller tarafından da kullanılıyor. Bir sistem enfekte olduğunda kurbanlar, aktif projelere ait kodlar, şirket içi gizli veriler ve kimlik doğrulama bilgilerini açığa çıkarabilir. Bu nedenle işletmeleri korumak için bu tür kampanyalar özellikle tehlikelidir.””
Kaspersky, Aralık 2025’te de benzeri bir bulguya ulaştı ve Google Ads üzerinden macOS için bir bilgi hırsızı zararlı yazılımın dağıtıldığını tespit etti. Bu kampanyada OpenAI ile ilişkili olmayan bir site üzerinde barındırılan özel bir sohbet arayüzü, kullanıcılara Atlas Browser’ı nasıl kuracaklarını gösterecekmiş gibi görünüyordu. Zararlı talimatlar, güven kazanmak amacıyla meşru bir site üzerinde barındırılıyormuş izlenimi veriyordu.
Kaspersky’in önerileri şu şekilde öne çıkıyor: indirilen dosyaların kaynağını mutlaka doğrulayın ve yalnızca resmi proje web sitelerini kullanın, harici kaynaklardan kopyalanan komutları çalıştırmadan önce dikkatlice inceleyin, talep edilmeyen ya da anlamadığınız rehberleri izlemekten kaçının ve zararlı yazılımları tespit eden uç nokta güvenlik çözümleri kullanın.
Kaynak: BEYAZ Haber Ajansı (BYZHA)
Leave a Reply