Kaspersky Tehdit Araştırmaları ekibi, Mart 2026'da Anthropic tarafından geliştirilen Claude Code adlı kodlama asistanının kurulum talimatlarını arayan geliştiricileri hedefleyen yeni bir siber saldırı kampanyası tespit etti. "Claude Code download" (Claude Code indir) araması yapıldığında, arama sonuçlarının en üstünde sponsorlu reklamlar beliriyor. Bu reklamlardan biri, kullanıcıları Claude Code'un resmi kurulum dokümantasyonunu taklit eden kötü niyetli bir web sayfasına yönlendiriyor. Bu şekilde kullanıcılar, kimlik bilgileri, kripto cüzdan verileri, tarayıcı oturumları ve diğer gizli dosyalarını ele geçiren zararlı yazılımları farkında olmadan yüklemeye yönlendiriliyor.
Benzer zararlı kampanyaların açık kaynaklı yapay zeka araçları dahil olmak üzere başka popüler platformları da taklit ettiği görülüyor. Sahte dokümantasyon sayfası, orijinaline görsel olarak birebir benzerlik taşıyor ve web site oluşturma ve barındırma platformu olan Squarespace üzerinde barındırılıyor. Sayfa, orijinal talimatları hassasiyetle kopyaladığı için kullanıcılar, kurulum komutlarını kopyalayıp çalıştırırken aradaki farkları fark edemeyebiliyorlar.
Ancak bu komutlar, geliştirici aracını kurmak yerine kurbanın sistemine zararlı yazılım indiriyor. İşletim sistemine bağlı olarak farklı bilgi hırsızı zararlı yazılımlar devreye giriyor. Windows sistemlerinde, kullanıcı dizinlerinden, web tarayıcılarından ve kripto para cüzdanlarından veri toplayarak çalınan bilgileri uzak bir sunucuya ileten Amatera adlı bilgi hırsızı zararlı yazılım yükleniyor. Amatera, daha önce ClickFix dağıtım tekniğinin kullanıldığı kampanyalarda görülmüştür ve Malware-as-a-Service (MaaS) modeli kapsamında işletilen bir zararlı yazılım olarak bilinmektedir.
macOS sistemlerinde ise, Apple cihazlarını hedef alan daha önce belgelenmiş bir zararlı yazılım olan AMOS yükleniyor. Bu zararlı yazılım, Kaspersky tarafından daha önce de raporlanmıştı. Kaspersky araştırmacıları ayrıca OpenClaw ve Doubao gibi diğer popüler yapay zeka araçlarını hedef alan benzer zararlı kampanyaları da tespit etti. Saldırganlar aynı yöntemi kullanarak çok sayıda alan adı kaydediyor ve bu araçların meşru indirme dosyaları gibi görünen paketler içerisinde Amatera bilgi hırsızı zararlı yazılımını dağıtıyor.
Kaspersky siber güvenlik uzmanı Vladimir Gursky, konuyla ilgili değerlendirmesinde, “Bu kampanya önemli riskler barındırıyor. Claude Code ve OpenClaw gibi yapay zeka geliştirme araçları yalnızca meraklı kullanıcılar veya otomasyon meraklıları tarafından değil, aynı zamanda büyük organizasyonlarda çalışan profesyonel geliştiriciler tarafından da yaygın bir şekilde kullanılmakta. Bir sistem enfekte olduğunda, kurbanlar farkında olmadan aktif projelere ait kaynak kodlarının, şirket içi gizli verilerin, kimlik doğrulama bilgilerini ve kişisel hesapların çalınmasına sebep olabilir. Bu nedenle yapay zeka destekli kodlama araçlarına güvenen geliştiricilerin bulunduğu işletmeler için bu tür kampanyalar özellikle tehlikelidir.” ifadelerini kullandı.
Kaspersky, Aralık 2025'te saldırganların Google Ads aracılığıyla bir macOS bilgi hırsızı zararlı yazılımı yaydığını da tespit etti. Bu kampanyada ChatGPT eğitim içeriğini andıracak şekilde tasarlanmış özel bir sohbet arayüzü, kullanıcılara Atlas Browser'ın nasıl kurulacağına dair rehberlik yapıyormuş gibi davranıyordu. Zararlı talimatlar, OpenAI ile ilişkili meşru bir site üzerinde barındırılıyormuş izlenimi vererek kullanıcıların güvenini kazanmayı hedefliyordu.
Kaspersky, kullanıcıların korunabilmesi için şu önerilerde bulunuyor:
- İndirme bağlantılarını dikkatle doğrulayın ve resmi proje web sitelerine yönlendirildiğinden emin olun.
- Özellikle harici kaynaklardan kopyalanan komut satırı talimatlarının çalıştırılmadan önce dikkatle incelenmesini sağlayın.
- Özellikle talep etmediğiniz veya tam olarak anlamadığınız kılavuzları takip etmekten kaçının.
- Bilgi hırsızı zararlı yazılımlar ve zararlı indirmeleri tespit edip engelleyebilen güvenilir uç nokta güvenlik çözümleri kullanın.
