Pratite nas preko RSS-aLažni Gemini CLI i Claude Code sajtovi šire infostealer malvere
Vesti, 26.05.2026, 11:30 AM
Istraživači kompanije EclecticIQ otkrili su novu kampanju u kojoj napadači koriste lažne sajtove koji se predstavljaju kao Google Gemini CLI i Anthropic Claude Code alati za distribuciju infostealer malvera.
Prvo upozorenje objavio je nezavisni istraživač poznat pod pseudonimom @g0njxa, koji je još u aprilu upozorio na kampanju koja zloupotrebljava Gemini CLI, alat koji programerima omogućava direktnu komunikaciju sa Gemini AI modelima preko terminala.
Istraživači EclecticIQ-a naknadno su analizirali kampanju i otkrili da su napadači počeli sa registracijom domena još početkom marta 2026. godine.
Napadači su koristili SEO poisoning tehnike kako bi lažni sajtovi bili prikazivani iznad legitimnih rezultata pretrage i korisnike preusmeravali na infrastrukturu pod kontrolom napadača.
Maliciozni sajtovi imitiraju zvanične stranice za instalaciju AI alata i prikazuju korisnicima PowerShell komande koje je potrebno kopirati i pokrenuti u terminalu.
U slučaju Gemini CLI kampanje, korisnici su preusmeravani na domen geminicli[.]co[.]com, dok je dodatni payload preuziman sa domena gemini-setup[.]com. Nakon izvršavanja komande, infostealer malver se u memoriji povezuje sa komandno-kontrolnim serverom i počinje krađu podataka.
Slična infrastruktura korišćena je i za lažne Claude Code stranice preko domena claudecode[.]co[.]com i claude-setup[.]com.
Istraživači navode da malver cilja Windows uređaje i da se izvršava potpuno u memoriji, čime otežava detekciju.
Infostealer pokušava da prikupi lozinke, kolačiće sesija, podatke za automatsko popunjavanje formulara i istoriju pretrage iz browsera kao što su Chrome, Edge, Brave i Firefox.
Pored browsera, malver cilja i veliki broj poslovnih i komunikacionih platformi, uključujući Slack, Microsoft Teams, Discord, Mattermost, Zoom, Telegram Desktop, Notion i Zoho Mail Desktop.
Istraživači upozoravaju da pristup kolačićima sesija i lokalnim autentifikacionim ključevima može napadačima omogućiti pristup internim komunikacijama kompanija, fajlovima i povezanim servisima bez potrebe za unosom lozinke.
Malver takođe pokušava krađu VPN konfiguracija, podataka iz kripto novčanika, cloud servisa poput Google Drive-a, OneDrive-a, iCloud Drive-a i MEGA-e, kao i lokalnih korisničkih fajlova i sistemskih informacija.
Jedna od najopasnijih funkcija malvera je mogućnost daljinskog izvršavanja komandi na kompromitovanom uređaju, što napadačima omogućava dodatnu kompromitaciju sistema i instalaciju novog malvera.
Istraživači smatraju da sličnosti između Gemini CLI i Claude Code kampanja ukazuju da iza obe operacije najverovatnije stoji ista grupa napadača.
Izdvojeno
Lažni Gemini CLI i Claude Code sajtovi šire infostealer malvere
Istraživači kompanije EclecticIQ otkrili su novu kampanju u kojoj napadači koriste lažne sajtove koji se predstavljaju kao Google Gemini CLI i Ant... Dalje
Besplatna horor igra na Steamu pretvorila se u horor za igrače: malver krao lozinke i podatke iz kripto novčanika
Besplatna horor igra Beyond The Dark uklonjena je sa Steama nakon što su korisnici otkrili da je sadržala malver za krađu lozinki, podataka iz preg... Dalje
Ugašen servis za digitalno potpisivanje malvera koji je zloupotrebljavao Microsoftovu platformu
Microsoft je saopštio da je ugasio malware-signing-as-a-service (MSaaS) operaciju koja je zloupotrebljavala kompanijin Artifact Signing servis za gen... Dalje
MiniPlasma: stara ranjivost Windowsa ponovo aktuelna
Istraživač bezbednosti poznat pod pseudonimom Nightmare-Eclipse objavio je proof-of-concept exploit pod nazivom MiniPlasma, koji omogućava napadač... Dalje
Hakovan sajt popularnog JDownloadera, korisnici preuzimali trojanizovane instalere
Popularni menadžer za preuzimanje JDownloader nakratko je postao kanal za distribuciju malvera nakon što su napadači kompromitovali zvanični sajt ... Dalje
Pratite nas
Nagrade
Prijatelji
