Gefälschte Claude-Website verbreitet PlugX-Malware über Sideloading-Angriff

Angriffsdetails
Eine gefälschte Website, die Anthropics Claude nachahmt, bietet einen trojanisierten Installer an, der PlugX-Malware einschleust. Die Domain imitiert die offizielle Claude-Website, und Besucher, die das ZIP-Archiv herunterladen, erhalten eine Kopie von Claude, die wie erwartet installiert und ausgeführt wird, während im Hintergrund Malware eingesetzt wird.
Technische Ausführung
Die gefälschte Seite bietet eine Datei namens Claude-Pro-windows-x64.zip an. Das ZIP enthält einen MSI-Installer, der unter C:\Program Files (x86)\Anthropic\Claude\Cluade\ installiert wird – die falsche Schreibweise "Cluade" ist ein Warnzeichen. Der Installer platziert eine Verknüpfung Claude AI.lnk auf dem Desktop, die auf Claude.vbs im SquirrelTemp-Verzeichnis verweist.
Bei Ausführung führt das VBScript-Dropper-Skript folgende Aktionen aus:
- Findet und startet die legitime Datei
claude.exeausC:\Program Files (x86)\Anthropic\Claude\Cluade\claude.exe - Erstellt eine neue Verknüpfung
Claude.lnkauf dem Desktop, die direkt aufclaude.exeverweist - Kopiert drei Dateien aus SquirrelTemp in den Windows-Startordner:
NOVUpdate.exe,avk.dllundNOVUpdate.exe.dat - Startet
NOVUpdate.exemit einem versteckten Fenster (Fensterstil 0)
Malware-Einschleusung
Hierbei handelt es sich um einen DLL-Sideloading-Angriff (MITRE T1574.002). NOVUpdate.exe ist ein legitimer G DATA Antivirus-Updater mit gültiger Signatur, der versucht, avk.dll aus seinem Verzeichnis zu laden. Der Angreifer ersetzt dies durch eine schädliche Version von avk.dll, die eine Nutzlast aus der begleitenden .dat-Datei liest und entschlüsselt.
Diese dreiteilige Sideloading-Kombination (signierte ausführbare Datei, trojanisierte DLL, verschlüsselte Datendatei) ist charakteristisch für die PlugX-Malware-Familie, ein Remote-Access-Trojaner, der seit 2008 bekannt ist.
Verhalten und Infrastruktur
Sandbox-Analysen zeigen, dass NOVUpdate.exe innerhalb von 22 Sekunden nach der Ausführung ausgehende TCP-Verbindungen zu 8.217.190.58 auf Port 443 herstellt. Die IP-Adresse fällt in einen mit Alibaba Cloud assoziierten Adressbereich (8.217.x.x). Die Malware modifiziert auch den Registrierungsschlüssel HKLM\System\CurrentControlSet\Services\Tcpip\Parameters.
Das Dropper-Skript enthält anti-forensische Maßnahmen: Nach dem Einschleusen der Nutzlastdateien schreibt es eine Batch-Datei ~del.vbs.bat, die zwei Sekunden wartet und dann sowohl das ursprüngliche VBScript als auch die Batch-Datei selbst löscht.
📖 Read the full source: HN AI Agents
👀 Siehe auch

Anthropic berichtet über industrielle Maßstäbe erreichende Destillationsangriffe chinesischer KI-Labore auf Claude
Anthropic entdeckte drei chinesische KI-Unternehmen – DeepSeek, Moonshot und MiniMax –, die über 24.000 betrügerische Konten erstellten, um mehr als 16 Millionen Austausche mit Claude zu generieren und dessen Denkfähigkeiten durch systematische Destillationsangriffe zu extrahieren.

Claude Code CVE-2026-39861: Sandbox-Escape durch Symlink-Following
Eine Schwachstelle mit hohem Schweregrad in der Sandbox von Claude Code ermöglicht das Schreiben beliebiger Dateien außerhalb des Arbeitsbereichs durch Symlink-Following, was potenziell zur Codeausführung führen kann.

Endo Familiar: Objektfähigkeits-Sandbox für KI-Agenten
Endo Familiar implementiert objektfähigkeitsbasierte Sicherheit für KI-Agenten: Agenten starten ohne Berechtigungen, erhalten nur explizite Referenzen auf bestimmte Dateien oder Verzeichnisse und können in Sandbox-Code engere Fähigkeiten ableiten.

Claude-Code-Quellkarten-Leck zeigt, dass minifizierter JavaScript-Code bereits öffentlich auf npm verfügbar war
Eine versehentlich in Version 2.1.88 des @anthropic-ai/claude-code npm-Pakets enthaltene Source-Map-Datei enthüllte interne Entwicklerkommentare, aber die eigentliche 13 MB große cli.js-Datei mit über 148.000 Klartextzeichenfolgen war seit dem Start öffentlich auf npm zugänglich.