Mehrere Google Ads verteilen Fake Claude Code mit Schadsoftware. Wenn der Installationsbefehl für Interessenten als Lockmittel dient.
Eine gefälschte Claude-Code-Seite, eine Google-Anzeige und ein kopierter Einzeiler reichten aus, um Nutzer zu manipulieren und in eine Infostealer-Kette zu ziehen. Das Problem ist wie so oft nicht das Tool selbst, sondern die eigene Vorgehensweise und der Umgang mit dem bereitgestellten Material. Wer beim Fake Claude Code für eine Prüfung auf Malware zu faul ist, gerät schnell in die aufgestellte Falle.
Fake Claude Code per Google-Anzeige verteilt
Wer derzeit bei Google nach „Claude Code” sucht, wird nicht nur auf echte Dokumentationen von Codeschnipseln und ganzen Codezeilen stoßen. Im Rahmen einer aktuellen Google-Ads-Kampagne führen bezahlte Anzeigen auf eine gefälschte Webseite der KI Claude. Das Layout orientiert sich dabei sehr stark am Original. Der Unterschied lag lediglich in der Domain und den ausgetauschten Befehlen, nicht in der optischen Aufmachung der Webseite. Als erster Sicherheitsanbieter berichtete kürzlich das Team von Bitdefender über diese Malware-Kampagne.
Ein Hack des Claude-Herstellers ist nicht Basis der Kampagne
Claude Code selbst hat man dabei nicht kompromittiert. Auch gelange es niemandem, Anthropic zu hacken. Was dennoch durchaus im Rahmen des Möglichen wäre. Bei der aktuellen Infostealer-Kampagne ist dies jedoch nicht der Fall. Die Angreifer nutzen die für manche Nutzer typische Bequemlichkeit und Inkompetenz aus.
Die offizielle Installation läuft ohnehin über Einzeiler für das Terminal oder die PowerShell. Genau darauf haben es die Angreifer abgesehen. Sie kreierten eine täuschend echte Seite und eine Dokumentation von Claude-Code. Das ist alles, was man braucht, um einen faulen Entwickler oder Vibe-Coder dazu zu verleiten, den verseuchten Code auszuführen.
Unter Windows lief das wie immer über die mshta.exe, also ein legitimes Microsoft-Programm, das weiteren Schadcode aus dem Netz nachlädt. Unter macOS sind es verschleierte Shell-Befehle und eine nachgeladene Mach-O-Datei, also ein normales, ausführbares Programm im nativen macOS-Format, um alles so unverdächtig wie möglich zu gestalten. Aber im Endergebnis läuft es auf einen Infostealer-Angriff hinaus.
Ziel der Aktion sind Passwörter, Cookies, Sitzungen und andere lokal gespeicherte Daten. Besonders heiß begehrt sind natürlich gut gefüllte Wallets von Kryptowährungen jeglicher Art, da leider die wenigsten Coin-Besitzer ein Hardware-Wallet verwenden. Für Entwickler ist das wesentlich unangenehmer als die übliche Fake-Download-Seite. Wer Claude Code installiert, sitzt oft in einer Umgebung mit Git-Zugängen, Cloud-Diensten, Admin-Panels oder anderen produktiven Systemen. Wenn dort Sitzungen und Zugangsdaten entwendet werden, bleibt es nicht beim kompromittierten Browserprofil. Dann kann es schnell gehen, dass weitere Bereiche kompromittiert werden, wie die Causa Smarttube Next im Dezember sehr eindrucksvoll aufgezeigt hat.
Nichts Neues, sondern ein ClickFix für eine andere Zielgruppe
Ein ClickFix ist eine schnelle Problemlösung mit einem Mausklick, doch oft geht das nach hinten los. Die dabei verwendete Technik ist an sich nichts Neues. Auch die Methode ist nicht ganz neu auf dem Markt. Die Cyberkriminellen wollen mit ihrer InstallFix-Kampagne lediglich eine neue potenzielle Zielgruppe ansprechen. Diesmal gibt es kein Fake-Captcha und auch keine erfundenen Browserstörungen oder auffällige Warnseiten. Es dreht sich auch nicht um irgendwelche Office-Nutzer in Büros, bei denen man sich fragt, was sie bei einer IT-Sicherheitsschulung gelernt haben. Egal was sie taten, aufmerksam zugehört habe sie offenkundig nicht. Ansonsten hätten sie ein besseres Sicherheitsbewusstsein erlangt. Anders kann man es sich nicht erklären, wie so ein billiger Trick mit dem Fake Claude derart erfolgreich sein kann.
Oder sind es vielleicht doch die typischen User, die einen angeblichen Fehler wegklicken sollen und es aufgrund mangelnden Wissens einfach machen? Nein, es geht diesmal um die Entwickler. Bei denen müsste man eigentlich Wissen und Kompetenz erwarten. Doch manche übernehmen blind Installationsbefehle aus einer Online-Dokumentation, weil sie nach einem passenden Tool für ihre Arbeit gesucht haben. Genau deshalb reicht hier eine Webseite, die wie das Original aussieht, plus ein ausgetauschter Code-Einzeiler. Das erinnert eher an indische Programmierer oder Call-Center-Mitarbeiter der gefälschten Microsoft-Hotline als an kompetente Entwickler, die wissen, was sie tun.
Nutzer vertrauen blind der gefakten Website
Wer curl, bash oder einen PowerShell-Einzeiler von einer Webseite übernimmt, vertraut am Ende nicht dem Befehl, sondern der verwendeten Domain. Wer überhaupt auf die Idee kommt, blind einer fremden Domain zu vertrauen, hat in diesem Job nichts verloren. Wenn die Anzeige ganz oben steht und die Seite aussieht wie das Original, reicht das für die meisten scheinbar einfach aus. Sie klicken blind darauf, übernehmen den Code und fügen ihn ohne Überprüfung ins Terminal ein.
Das System dahinter ist älter, als der Claude Code selbst.
Auch der Weg über das künstliche Pushen der gefälschten Google Ads ist bereits bekannt. Solche Kampagnen gab es schon früher mit gefälschten Download-Seiten für bekannte Fernwartungs-, Netzwerk- und Business-Tools. Statt für AnyDesk, Slack oder WinSCP werben die Cyberkriminellen jetzt mit der gleichen Methode für KI- und Entwickler-Tools.
Fake Claude Code – unser Fazit
Wie gesagt, es gab keine Lücke im Claude Code und auch nicht auf deren Website. Anthropics Infrastruktur hat offenkundig niemand kompromittiert. Es handelte sich um eine gefälschte Dokumentation in Kombination mit Google Ads und einen Einzeiler, den angebliche Pseudo-Entwickler für echt hielten. Mehr braucht es nicht. Wer Installationsbefehle blind übernimmt, läuft genau in so etwas hinein.
Bleibt die Frage, wie Opfer ihrer Cyberversicherung als Unternehmen oder als selbstständiger Entwickler erklären wollen, dass man es unterlassen hat, die Domain und den Code zu überprüfen. Ich gebe es zu, bei der Domain bin ich auch manchmal nachlässig. Mein selbstgebauter Adblock-DNS-Dienst schützt mich zuverlässig vor kürzlich registrierten Seiten, die genau in das Muster fallen. Das liegt an den aktuellen Listen. Da mein NUC aber ein Produktivsystem ist, bei dem es das maximale Worst-Case-Szenario wäre, wenn da etwas passiert, schaue ich mir den Code genauer an. Niemand sollte Code einfach ungeprüft bei Vibe-Coding-Sessions übernehmen, egal wie professionell die Quelle aussehen sollte.
Gerade von professionellen Entwicklern darf man wohl ein hohes Maß an Verantwortungsbewusstsein verlangen. Dann hätte die Kampagne mit dem Fake Claude Code keine Chance.
