网络安全公司EclecticIQ日前发布报告称,有大量黑客正在伪造GeminiCLI与ClaudeCode网站,并利用竞价排名方式提升山寨网站搜索权重,诱骗开发者下载被植入木马的安装程序,最终执行恶意PowerShell指令。亚汇网参考通报获悉,黑客注册了多个与官方页面高度相似的钓鱼网站,当开发者访问这些网站后,页面会引导用户复制并执行一段PowerShell安装命令。表面上看,这些命令是在安装GeminiCLI或ClaudeCode,但实际上会先下载并执行木马。事实上,为了降低用户警觉性,相应脚本还会在后台同时安装真正的GeminiCLI或ClaudeCode,让受害者误以为软件安装一切正常。具体来看,相应木马会收集受害者设备上的浏览器Cookie、登录凭据、LocalState数据、数字钱包内容等,同时其还具备远程执行命令能力,意味着黑客后续能够进一步控制受害者设备。针对这类攻击,EclecticIQ提醒开发者务必仔细核查软件下载来源,不要轻信搜索引擎结果。同时建议企业统一启用PowerShell的“限制语言模式”(ConstrainedLanguageMode,CLM),并采用FIDO安全密钥等多因素认证机制,以降低身份凭据被盗带来的风险。广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
AI 辅助编程引发谷歌 Gemini CLI / Anthropic Claude Code 热潮,黑客借此设计钓鱼网站散播恶意木马
文 / 小亚
2026-06-04 23:01:51
来源:亚汇网
