当前,人工智能辅助编程技术正迅速普及,谷歌的Gemini CLI和Anthropic的Claude Code等开发工具受到了广泛关注,热度持续攀升。然而,这股热潮也吸引了黑客的注意,他们正以此为契机,对广大开发者发起新一轮网络攻击。
网络安全公司EclecticIQ近日发布报告指出,大量网络不法分子正在伪造Gemini CLI和Claude Code的官方网站。他们利用搜索引擎竞价排名的手段,提高这些山寨网站的搜索权重,从而诱导开发者点击并下载被篡改的安装程序。这些恶意安装包最终会执行恶意的PowerShell指令,给用户带来潜在威胁。
据了解,黑客注册了多个与官方页面高度相似的钓鱼网站。当开发者访问这些假冒网站时,页面会引导用户复制并执行一段PowerShell安装命令。表面上,这些命令旨在安装Gemini CLI或Claude Code,但实际上,它会首先下载并启动一个恶意木马。为了降低用户的警惕性,该脚本在后台还会同时安装真实的Gemini CLI或Claude Code,让受害者误认为软件安装过程一切正常。
具体而言,一旦木马成功植入,它将悄无声息地收集受害者设备上的各类敏感信息,包括浏览器Cookie、登录凭据、本地状态数据以及数字钱包内容等。此外,该木马还具备远程执行命令的能力,这意味着黑客可以在后续远程操控受害者的设备,构成更严重的安全威胁。
针对此类攻击,EclecticIQ提醒广大开发者,在下载软件时务必仔细核查其来源,切勿轻信搜索引擎的推荐结果。同时,建议企业统一启用PowerShell的“限制语言模式”(Constrained Language Mode,CLM),并采纳FIDO安全密钥等多因素认证机制,以有效降低用户身份凭据被盗用的风险。