Nowa fala ataków na programistów. Cyberprzestępcy zatruwają wyniki wyszukiwania (SEO poisoning), aby dystrybuować złośliwe instalatory Gemini CLI oraz Claude Code

Badacze bezpieczeństwa z EclecticIQ alarmują o trwającej kampanii cyberprzestępczej, wycelowanej głównie w programistów szukających instalatorów GeminiCLI oraz Claude Code. Atakujący używają techniki SEO poisoning (zatruwanie wyników wyszukiwania), aby pozycjonować fałszywe domeny nad oficjalnymi witrynami. Strony perfekcyjnie odzwierciedlają autentyczne witryny instalacyjne poszczególnych agentów. Jednak w pakiecie, oprócz instalacji samego agenta, użytkownik otrzymuje złośliwe oprogramowanie typu infostealer.

TLDR:

• Badacze bezpieczeństwa z EclecticIQ informują o wykryciu aktywnej kampanii cyberprzestępczej wymierzonej w programistów korzystających z narzędzi Gemini CLI oraz Claude Code.
• Atakujący używają techniki SEO poisoning, aby pozycjonować spreparowane witryny wysoko w wynikach wyszukiwania.
• Domeny zarejestrowane przez cyberprzestępców często posiadają literówki w nazwie (technika typosquatting), aby zmylić użytkownika i zachęcić do odwiedzenia kontrolowanego przez nich serwisu.
• Witryna niemal idealnie odwzorowuje oryginalne treści. Różnice występują w składni polecenia.

Wykonanie podstawionej komendy skutkuje uruchomieniem złośliwego oprogramowania typu infostealer bezpośrednio w pamięci RAM, które natychmiast kradnie dane sesyjne, hasła i portfele kryptowalutowe.

Schemat ataku

Atak rozpoczyna się w momencie przejścia użytkownika na stronę kontrolowaną przez cyberprzestępców. Tak jak było wspomniane na początku, w analizowanej kampanii została wykorzystana technika SEO poisoning, jednak nic nie stoi na przeszkodzie, aby użyć do tego celu wiadomości phishingowych, czy też portali społecznościowych.

Czujny czytelnik od razu wychwyci, że adres serwisu jest odrobinę “dziwny”. Atakujący zastosowali technikę typosquatting, polegającą na rejestrowaniu domen, w których celowo popełniono literówki. Od razu zaznaczamy: przed tą techniką dodatki typu adblock zainstalowane w przeglądarkach nas nie ochronią. Nie są to złośliwe reklamy wyświetlane obok wyników wyszukiwania. Przed tego typu zagrożeniami najskuteczniejszym sposobem ochrony jest dokładna analiza adresu URL w pasku przeglądarki oraz skorzystanie z serwisów typu VirusTotal.

Po przejściu pod wskazany adres zostanie wyświetlona instrukcja, pozwalająca zainstalować danego agenta. W badanym przykładzie wykorzystano Gemini CLI.

Po uruchomieniu polecenia następuje nawiązanie połączenia z serwerem kontrolowanym przez cyberprzestępców w celu pobrania złośliwego ładunku (payload). Na tym etapie skrypt wykonuje równolegle dwie akcje w systemie użytkownika:

• instaluje żądany pakiet z oficjalnego rejestru npm (npm install -g @google/gemini-cli), wyświetlając przy tym w terminalu informacje o zależnościach oraz paski postępu (co skutecznie usypia czujność),
• infekuje środowisko złośliwym oprogramowaniem typu infostealer, pobierając i uruchamiając kod bezpośrednio w pamięci urządzenia za pomocą ukrytego okna PowerShell, całkowicie maskując przy tym wyświetlane komunikaty.

Co ciekawe, aby zapewnić stabilne działanie oraz nie wywoływać alertów, skrypt neutralizuje mechanizmy bezpieczeństwa dostępne w systemie Windows. Modyfikuje flagę PSEtwLogProvider.m_enabled, dzięki czemu systemowy dziennik zdarzeń (Event Tracing for Windows) przestaje rejestrować kod wykonywany w terminalu PowerShell.

Dodatkowo obchodzi zabezpieczenia Antimalware Scan Interface, przez co funkcja skanowania procesów staje się całkowicie bezużyteczna. W praktyce oznacza to, że wbudowany antywirus traci zdolność analizowania kodu “w locie”. Złośliwe oprogramowanie może zatem pobierać oraz uruchamiać silnie zaciemniony kod, nie wywołując przy tym alertów.

Ciekawe wnioski płyną z samej budowy złośliwego skryptu PowerShell. Badacze zidentyfikowali w nim około 6800 linii śmieciowego kodu (junk code), który nie wpływa bezpośrednio na działanie systemu. Został celowo umieszczony, aby zaciemnić rzeczywiste przeznaczenie skryptu oraz ukryć złośliwą aktywność. 

Dodatkowo zaimplementowano mechanizm weryfikujący obecność procesów charakterystycznych dla maszyn wirtualnych (szukający ciągu znaków qemu-ga). Jest to klasyczna technika pozwalający wykryć środowiska analityczne. Jeżeli skrypt zostanie uruchomiony w środowisku testowym (sandbox), automatycznie przerywa swoje działanie lub wykonuje wyłącznie nieszkodliwe instrukcje, aby nie zdradzić swojej prawdziwej natury.

W odróżnieniu od wielu innych kampanii, cyberprzestępcy skupili się przede wszystkim na błyskawicznej ekstrakcji danych. Nie zależało im na trwałym zakorzenieniu się w systemie czy też długofalowym monitorowaniu działań użytkownika. Malware uruchamiany jest bezpośrednio w pamięci RAM, a co za tym idzie ponowne uruchomienie komputera skutecznie usuwa złośliwy kod z urządzenia.

Warto jednak pamiętać, że celem atakujących było szybkie zdobycie informacji. Dlatego infostealer niemal natychmiast po uruchomieniu przystępuje do działania. Jego celem są m.in:

• dane przeglądarek (ciasteczka sesyjne, dane autouzupełniania formularzy),
• pliki sesyjne z firmowych komunikatorów (Slack, Microsoft Teams, Discord, Zoom),
• poświadczenia logowania do narzędzi zdalnego dostępu (WinSCP, PuTTY, konfiguracja OpenVPN),
• prywatne pliki użytkownika (.txt, .docx, .pdf),
• portfele kryptowalutowe.

Przechwycone dane są następnie pakowane i wysyłane na serwery kontrolowane przez atakujących (C2). W analizowanej kampanii były to domeny: events[.]msft23[.]com oraz events[.]ms709[.]com.

Co prawda analizowana próbka posiada mechanizm pozwalający operatorom na zdalne uruchomienie kolejnych ładunków (np. trojanów typu RAT zapewniających stały dostęp). Jednak badaczom nie udało się odnaleźć śladów wykorzystania tej funkcjonalności w realnych atakach.

Tak jak było wspomniane na początku, atak rozpoczyna się od przejścia na witrynę kontrolowaną przez atakujących oraz wykonania przedstawionych tam komend. Najlepszym sposobem ochrony jest uważne i świadome działanie użytkownika, skrupulatna weryfikacja adresów URL w pasku przeglądarki oraz dokładne analizowanie wykonywanych komend. 

Śledząc aktywność cyberprzestępców, należy się spodziewać, że tego typu ataki będą się pojawiać coraz częściej, a narzędzia automatyzujące pracę (popularne wśród szerokiego grona użytkowników), będą wykorzystywane do dystrybucji złośliwego oprogramowania.

Pełna lista wskaźników kompromitacji (IoC) dostępna tutaj.  

Źródło: blog.eclecticiq.com 

~_secmike