Falso Claude Code su Google Ads: come funziona la campagna malware che colpisce gli sviluppatori
Una campagna malevola su Google Ads diffonde falsi annunci di Claude Code, colpendo sviluppatori con malware che ruba credenziali e token sensibili.
La campagna sfrutta annunci ingannevoli per diffondere un infostealer che ruba credenziali di repository e chiavi API
Lo scorso 11 marzo, i ricercatori di Bitdefender hanno documentato una campagna malevola su Google Ads che prende di mira chiunque cerchi Claude Code, lo strumento a riga di comando di Anthropic per interagire con i modelli Claude. L’attacco è sofisticato nella sua semplicità: chi clicca sull’annuncio pensando di trovare documentazione ufficiale, finisce invece per scaricare un backdoor Mach-O su macOS o, se usa Windows, per eseguire codice ostile tramite mshta.exe. Il target non è l’utente medio: sono gli sviluppatori, persone con accesso a repository, ambienti cloud e chiavi API.
Il vettore: Google Ads e la pagina falsa
Il primo vettore di attacco usa Google Ads per promuovere quello che sembra un artefatto Claude AI legittimo, camuffato da guida di sicurezza macOS. È un dettaglio rivelatore: chi cerca uno strumento da sviluppatore su un motore di ricerca e trova un annuncio in cima ai risultati tende a fidarsi, specialmente se la landing page è curata. E la pagina in questione lo era: ospitata su un sottodominio Squarespace, imitava la struttura di una documentazione tecnica autentica, completa di istruzioni di installazione false.
Dietro l’annuncio, gli attaccanti hanno probabilmente sfruttato un account pubblicitario compromesso collegato a un’azienda malese — una tecnica classica per aggirare i sistemi di verifica di Google, che associano la credibilità dell’inserzionista alla storia dell’account. Stando a quanto documentato, la campagna ha già raggiunto oltre 15.000 potenziali vittime secondo le analisi di Cyber Security News su questo tipo di attacchi. Un numero che dice molto sulla capacità di distribuzione di una campagna ads, anche quando il contenuto è palesemente malevolo per chi sa dove guardare.
Sotto il cofano: il funzionamento di Amatera Stealer
Il payload identificato corrisponde alle firme Yara di Amatera Stealer, analizzato da Push Security, e viene recuperato dal dominio di comando e controllo claude[.]update-version[.]com — un nome scelto con cura per sembrare un aggiornamento legittimo dello strumento. Su macOS, l’infezione avviene tramite comandi shell offuscati che scaricano il binario Mach-O: un eseguibile nativo per Apple Silicon o x86_64 che, una volta in esecuzione, opera silenziosamente in background. Su Windows, il vettore è mshta.exe, il Microsoft HTML Application Host, uno strumento legittimo del sistema operativo che permette di eseguire script HTA — un metodo di “living off the land” che sfrutta componenti già presenti nel sistema per evitare detection.
Una volta attivo, l’infostealer si comporta come una spugna di dati: raccoglie credenziali memorizzate nel browser, token di sessione e qualsiasi altro dato sensibile accessibile nel profilo utente. L’analogia più precisa è quella di un ladro che non sfonda la porta ma trova la chiave sotto lo zerbino — i dati sono già lì, nei database SQLite di Chrome o Firefox, nei keychain di macOS, nei file di configurazione di strumenti CLI. Per uno sviluppatore, le conseguenze sono particolarmente gravi: le credenziali compromesse possono aprire l’accesso a repository di codice, ambienti cloud e sistemi interni. Un token GitHub o una chiave AWS sottratta in questo modo può causare danni che vanno ben oltre il singolo dispositivo infettato.
La scelta di Squarespace come host della pagina falsa non è casuale: i sottodomini di piattaforme note passano più facilmente i filtri reputazionali dei browser e dei proxy aziendali. È la stessa logica che porta gli attaccanti a usare Google Sites, Notion o GitHub Pages per ospitare pagine di phishing. La fiducia transitiva nella piattaforma ospitante si trasferisce, almeno parzialmente, alla pagina ostile.
Implicazioni per gli sviluppatori: una tendenza pericolosa
Questo attacco non è un episodio isolato. Stando a quanto rilevato dai ricercatori di Huntress nel loro studio su AMOS stealer e la fiducia negli strumenti AI, gli attaccanti stanno avvelenando sistematicamente più piattaforme di intelligenza artificiale con tecniche di SEO poisoning, assicurandosi che le vittime incontrino istruzioni compromesse indipendentemente dallo strumento che decidono di cercare — che sia ChatGPT, Grok o Claude. Non si tratta di fortuna: è una strategia di copertura totale.
Il paradosso è evidente: gli sviluppatori sono, in media, utenti tecnici più smaliziati del pubblico generale. Sanno leggere un certificato TLS, capiscono la differenza tra HTTP e HTTPS, probabilmente hanno un password manager. Eppure sono esattamente il target preferito di questa campagna, proprio perché le credenziali che custodiscono hanno un valore sproporzionato. Secondo quanto documentato da Push Security, gli attaccanti distribuiscono siti clonati quasi identici degli strumenti di sviluppo più usati, con istruzioni di installazione false veicolate tramite annunci nei motori di ricerca: il meccanismo funziona perché sfrutta un momento di bassa guardia — la ricerca rapida di uno strumento da installare, magari su un nuovo ambiente di sviluppo. E il fatto che questa tattica sia confermata come parte di una tendenza più ampia che colpisce gli strumenti di sviluppo in generale, non solo Claude Code, rende il problema strutturale. E secondo i fake Claude Code documentati da Cyber Security News, il malware è capace di raccogliere credenziali memorizzate nel browser, token di sessione e altri dati sensibili — esattamente il profilo di accesso che uno sviluppatore accumula nel tempo.
Per chi costruisce software, questa campagna è un monito tecnico preciso: la fiducia negli strumenti di sviluppo può diventare un punto debole. La vigilanza deve estendersi oltre il codice — verso le piattaforme pubblicitarie, i domini di comando e controllo mascherati da update server, e le pagine di documentazione che vivono su sottodomini di piattaforme rispettabili. Verificare l’URL prima di eseguire qualsiasi istruzione di installazione non è paranoia: è igiene operativa di base.
