谷歌搜索Claude Code遭广告投毒，冒充安装页植入窃密木马已持续近一月

据 1M AI News 监测，一场针对开发者的谷歌广告投毒攻击自 2 月起持续活跃。攻击者劫持经 Google 验证的合法广告账户，在搜索 Homebrew、Claude 等开发者工具时将恶意链接推至搜索结果首位。被劫持的账户属于加拿大儿童慈善机构 Earth Rangers 和哥伦比亚零售商 TSQ SA，因历史信誉良好，恶意广告绕过了 Google 的审核。早期变种利用 claude.ai 域名下的用户生成内容页面伪装成 Homebrew 安装指南，诱导用户将 Base64 编码的命令粘贴到终端执行，实际植入 MacSync 窃密木马，通过 AppleScript 窃取 macOS Keychain 凭证、浏览器密码和加密货币钱包私钥。

截至 2 月中旬，两个已知恶意页面累计约 25,000 次点击。安全公司 AdGuard 于 2 月 11 日发现该攻击并向 Google Ads 和 Anthropic 报告，恶意页面在 16 小时后才被下架，此后攻击者转向 Evernote 用户内容域名 share.evernote.com 继续投放。

进入 3 月，攻击出现专门针对 Claude Code 的新变种，使用 clavdecode.it.com 和 claude-code.install-files.com 等仿冒域名，同样通过劫持谷歌广告分发。该变种同时针对 Windows 和 macOS，Windows 端通过 mshta.exe 启动七阶段无文件攻击链，利用 .NET 反序列化植入定制 C2 控制器，可窃取七种浏览器的凭证，并将 C2 通信伪装为 facebook.com 流量以规避检测。