Исследователи EclecticIQ раскрыли кампанию, в которой злоумышленники подделывали сайты установки Google Gemini CLI и Anthropic Claude Code. Жертву приводили не через вложение в письме, а через поисковую выдачу: разработчик искал официальный инструмент, переходил на похожую страницу и копировал команду установки. Вместо ИИ-помощника на Windows-машине запускался файлово-невидимый PowerShell-стилер.
Схема строилась на отравлении поисковой выдачи. Атакующие поднимали фейковые домены в результатах поиска выше или рядом с легитимными страницами. Страница выглядела как обычная инструкция: название инструмента, блок с командой, знакомая структура документации. Такой формат хорошо работает именно против разработчиков: они привыкли ставить CLI-утилиты через терминал и часто копируют команды из документации без лишних проверок.
Целью были рабочие станции разработчиков. Это делает кампанию опаснее обычной раздачи стилеров. На dev-машине часто лежат SSH-ключи, токены GitHub, npm, PyPI и Docker, API-ключи облаков, cookie корпоративных сервисов, доступы к CI/CD, ключи от менеджеров паролей и локальные конфиги проектов. Один запуск «установочной команды» может дать атакующему путь не только к личному браузеру, но и к репозиториям, сборочным пайплайнам и облачной инфраструктуре.
Пользователь вводил в Google запрос вроде установки Gemini CLI или Claude Code. Фейковый сайт показывал команду, похожую на стандартный способ установки. После копирования и запуска команда тянула PowerShell-скрипт, который работал в памяти и собирал данные с Windows-системы. Такой подход сложнее заметить, чем обычный скачанный .exe: на диске может не остаться привычного установщика, а в истории останется только «команда из документации».
Легитимные инструменты действительно устанавливаются через командную строку, поэтому приманка выглядит убедительно. Официальный Gemini CLI распространяется через npm и может запускаться через npx @google/gemini-cli или устанавливаться глобально как @google/gemini-cli. Claude Code — агентный инструмент Anthropic для работы в терминале и IDE; официальный пакет есть в npm, а актуальные инструкции Anthropic также ведут пользователей к официальным способам установки через документацию и репозиторий проекта.
Проблема в одной букве, домене или лишнем слове в адресе. Для пользователя команда может выглядеть почти нормально, но домен, с которого скачивается скрипт, уже не принадлежит Google или Anthropic. В npm-экосистеме похожая угроза называется typosquatting: злоумышленники создают пакеты с похожими именами и ждут, когда разработчик ошибётся в названии. В случае с Gemini CLI особенно важно наличие пространства имён @google/, потому что похожие «gemini-cli» без правильного источника могут быть не тем, что пользователь хотел установить.
Похожие атаки уже фиксировались вокруг Claude Code. Wired писал, что после публичной истории с утечкой части кода Claude Code злоумышленники начали публиковать репозитории с «дополнительной» малварью. TechRadar отдельно описывал кампании, где фальшивые AI-инструменты для разработчиков распространялись через рекламу и поисковые приманки; Windows-пользователям подсовывали Amatera, а macOS-пользователям — AMOS.
У свежей кампании с Gemini и Claude есть важная особенность: она атакует привычку доверять документации из поиска. Раньше базовая гигиена звучала просто: «не скачивайте программы с сомнительных сайтов». Разработчик может не скачивать файл вообще, а просто выполнить команду из красивой страницы, которая выглядит как официальная документация.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
