Kaspersky Alerta sobre Campanha de Malvertising que Disfarça Ferramentas de Codificação de IA como Distribuição de Malware
Pontos principais
- A Kaspersky identificou uma campanha de malvertising que visa buscas por ferramentas de codificação IA.
- Anúncios falsos levam a páginas de download falsas para Claude Code e OpenClaw.
- A instalação envolve copiar trechos de linha de comando, tornando a detecção mais difícil.
- Usuários do Windows recebem o infostealer Amatera; usuários do macOS recebem AMOS.
- Ambas as famílias de malware roubam código-fonte, dados corporativos, credenciais e carteiras de criptomoedas.
- A campanha ameaça desenvolvedores hobbyistas e profissionais.
- A Kaspersky alerta sobre a possível exposição de informações confidenciais de projetos.
- Especialistas recomendam verificar fontes de download e educar equipes de desenvolvimento.
A Kaspersky identificou uma campanha de malvertising que visa desenvolvedores que buscam assistentes de codificação IA, como Claude Code e OpenClaw. A campanha exibe anúncios maliciosos que levam a páginas de download falsas. Quando os usuários copiam e colam o código fornecido no Prompt de Comando do Windows ou no Terminal do macOS, eles instalam inadvertidamente malware de infostealer - Amatera no Windows e AMOS no macOS.
Visão Geral da Campanha
A pesquisa da Kaspersky revela um esforço coordenado de malvertising direcionado a indivíduos que buscam ferramentas de codificação assistidas por IA. Consultas de pesquisa para termos como "Claude Code download" e "OpenClaw download" ativam anúncios que aparecem legítimos no topo da página. Clicar nesses anúncios redireciona os usuários para sites que imitam de perto as páginas oficiais do Claude Code da Anthropic e do OpenClaw da OpenAI.
Os sites falsos não oferecem instaladores tradicionais. Em vez disso, eles fornecem trechos de linha de comando que os usuários são instruídos a copiar e colar no Prompt de Comando do Windows ou no Terminal do macOS. Esse método de entrega torna a atividade maliciosa mais difícil de detectar, pois ele bypassa os warnings típicos de instaladores.
Cargas de Malware
Dependendo do sistema operacional, o código malicioso instala um infostealer diferente. As vítimas do Windows recebem Amatera, uma família de malware conhecida por coletar dados de diretórios de usuário, navegadores da web e carteiras de criptomoedas. Amatera foi observada em campanhas anteriores que usam técnicas de distribuição ClickFix e opera sob um modelo de Malware como Serviço (MaaS).
Os usuários do macOS são infectados com AMOS, um infostealer orientado ao macOS que foi empregado em numerosos ataques contra usuários da Apple. Ambas as variantes de malware são projetadas para exfiltrar informações sensíveis sem o conhecimento da vítima.
Riscos para Desenvolvedores
O especialista em cibersegurança da Kaspersky, Vladimir Gursky, enfatiza que a campanha é especialmente perigosa porque as ferramentas de desenvolvimento de IA, como Claude Code e OpenClaw, são amplamente adotadas por hobbyistas, entusiastas da automação e desenvolvedores profissionais em grandes organizações. "Se infectados, as vítimas podem expor inadvertidamente o código-fonte de projetos ativos, dados corporativos confidenciais, credenciais de autenticação e contas privadas", observa Gursky.
O roubo de código-fonte e credenciais pode levar à perda de propriedade intelectual, acesso não autorizado a sistemas corporativos e roubo financeiro de carteiras de criptomoedas comprometidas. Portanto, as organizações que dependem de ferramentas de codificação assistidas por IA estão sob alto risco.
Medidas de Proteção
Profissionais de segurança recomendam que os desenvolvedores verifiquem a autenticidade das fontes de download antes de executar qualquer código. Usar repositórios oficiais, verificar assinaturas digitais e evitar anúncios não solicitados pode reduzir a exposição. As empresas devem educar suas equipes de desenvolvimento sobre a ameaça e implementar monitoramento para padrões de exfiltração de dados incomuns.
Ao permanecer vigilante e aderir às melhores práticas, os desenvolvedores podem mitigar o risco imposto por essa sofisticada campanha de malvertising.