Um instalador falso do Claude Code distribuído via anúncios patrocinados no Google está infectando desenvolvedores com malware que rouba senhas de navegadores, chaves de API e carteiras de criptomoedas. Identificado por pesquisadores da Ontinue e Bitdefender em março de 2026, o ataque usa a técnica ClickFix para enganar vítimas em máquinas Windows e macOS. A operação já está ativa em pelo menos 32 sites.
Vetor de infecção
O ataque usa a técnica ClickFix: a vítima pesquisa por “install Claude Code” no Google e clica em um resultado patrocinado. O anúncio usa uma conta de anunciante comprometida de uma empresa malaia, passando pelas verificações do Google. O link direciona para uma página de documentação falsa hospedada em subdomínio do Squarespace — claude-code-cmd.squarespace[.]com — que imita o site oficial docs.claude.com.
A página exibe comandos de instalação adulterados. No Windows, o comando invoca mshta.exe para baixar um script PowerShell ofuscado de 600 KB. No macOS, usa curl com decodificação base64 encadeada para baixar um binário Mach-O que funciona como backdoor reverso. Em ambos os casos, a vítima executa o comando manualmente — sem exploração de vulnerabilidade técnica.
| Plataforma | Payload | Detecção | Capacidade |
|---|---|---|---|
| Windows | PowerShell loader + process hollowing | Trojan.Stealer.GJ/GK | Roubo de senhas e cookies do navegador |
| macOS | Binário Mach-O universal (arm64 + x86_64) | Backdoor reverso | Shell remoto via fork/exec |
Bypass da criptografia do Chrome
No Windows, o malware demonstra capacidade avançada de contornar a criptografia Application-Bound Encryption (ABE) introduzida no Chrome 144. O loader injeta um helper nativo — payload_x64.bin, compilado em 24 de março de 2026 — em um processo legítimo do navegador via process hollowing. O helper utiliza a interface COM IElevator2 para solicitar ao serviço de elevação do Chrome que descriptografe as chaves de dados armazenadas.
Os atacantes adaptaram o código em menos de 60 dias após o lançamento do Chrome 144. Um erro de codificação no ataque ao Edge (uso do identificador 4740 em vez de 4047) faz a primeira tentativa falhar, mas o malware recua automaticamente para a interface IElevator mais antiga, que continua funcional.
Com a chave de 32 bytes recuperada, o loader descriptografa cookies, senhas salvas e métodos de pagamento dos bancos de dados SQLite do navegador. Os dados são compactados em memória como secure_prefs.zip e enviados ao servidor mt7263.com. O roubo de sessão por infostealers tornou-se um dos ataques mais lucrativos para o crime digital.
Mecanismos de persistência
O malware cria uma tarefa agendada no Windows que executa a cada minuto usando conhost –headless PowerShell para verificar o servidor por novas instruções. No macOS, o binário remove atributos estendidos com xattr -c para evitar alertas do Gatekeeper e estabelece comunicação reversa via fork de /bin/bash ou /bin/zsh. O loader verifica a região do sistema e se recusa a executar em máquinas localizadas na Rússia, Irã e Ucrânia.
O malware não pertence a famílias conhecidas como Lumma ou Glove Stealer. Pesquisadores classificaram a operação como um “produto mantido e profissionalizado” sem correspondência na taxonomia pública.
Desenvolvedores devem instalar o Claude Code exclusivamente pelo site oficial docs.anthropic.com, nunca executar comandos de instalação copiados de resultados patrocinados e monitorar logs do PowerShell Script Block para chamadas COM incomuns. A segurança de ferramentas de IA para desenvolvedores exige verificação da origem de todo download.