駭客利用假冒Gemini與Claude安裝網站散布惡意軟體竊取開發者帳號與開發環境資料
自 2025年3月起,駭客透過 SEO Poisoning 手法偽造 Gemini CLI 與 Claude Code 安裝網站,散布無檔案資訊竊取程式(Fileless Infostealer),鎖定開發者帳號與開發環境資料。由 EclecticIQ 於 2026年6月1日發布完整研究報告,初始揭露者為資安研究者 @g0njxa。
攻擊手法
- SEO Poisoning:偽造
geminicli[.]co[.]com、claudecode[.]co[.]com等網站並操縱搜尋引擎排名 - ClickFix / PowerShell Lure:誘導開發者複製執行 PowerShell 安裝指令
- 假冒真實工具:惡意程式在背景執行,同時安裝正版工具以降低察覺機率
惡意軟體特性
- Fileless Infostealer:完全在記憶體中運行,不落地磁碟
- 停用 Windows AMSI 與 ETW 安全機制
- 竊取目標:瀏覽器 Cookie、登入憑證、加密金鑰、企業協作平臺、遠端存取工具、數位錢包、雲端儲存
- 具備遠端執行指令(RAT)能力
影響範圍
- 鎖定 AI 開發工具用戶(主要為開發者群體)
- 活動自 2025年3月持續至 2026年6月
防禦建議
- 嚴格驗證軟體下載來源,僅從官方管道下載
- 啟用 PowerShell Constrained Language Mode(CLM)
- 採用 FIDO2 安全金鑰減少身分風險
來源文章
- ithome-2026-06-01-fake-gemini-claude-infostealer-176273 — iThome 原始報導(2026-06-01)
相關頁面
- eclecticiq — 發布研究報告的資安公司
- google — Gemini CLI 品牌被仿冒
- anthropic — Claude Code 品牌被仿冒