Kilka tygodni temu na cyberflux pisaliśmy o tym jak wyciek kodu Claude Code przez błąd pakowania w npm stał się paliwem dla kolejnego etapu ataku: fałszywe repozytoria na GitHubie obiecujące "odzyskany kod" dystrybuowały malware Vidar. Teza była prosta — nie sam wyciek jest końcem historii, tylko pretekstem dla następnego etapu.
Nowy przypadek, opisany przez Malwarebytes w tym tygodniu, potwierdza ten wzorzec z drugiej strony. Tym razem nie było żadnego wycieku. Wystarczyła sama popularność.
Fałszywa strona, prawdziwy Claude i coś jeszcze
Atakujący stworzyli stronę podszywającą się pod oficjalny serwis Anthropic i oferującą "wersję Pro" Claude dla systemu Windows. Wabik jest przemyślany: plik nazywa się Claude-Pro-windows-x64.zip, instaluje się w ścieżce naśladującej prawdziwą strukturę Electron-ową używaną przez Claude, skrót na pulpicie działa poprawnie, aplikacja się uruchamia.
Claude faktycznie działa. To jest kluczowy element całego ataku.
W momencie gdy użytkownik klika skrót Claude AI.lnk, uruchamia się skrypt VBScript. Skrypt wykonuje dwie rzeczy jednocześnie: uruchamia prawdziwego Claude na pierwszym planie — żeby wszystko wyglądało normalnie — i w tle kopiuje trzy pliki do folderu autostartu systemu Windows. Potem usuwa sam siebie, żeby nie zostawiać śladów.
22 sekundy po uruchomieniu system nawiązuje pierwsze połączenie z serwerem sterującym na adresie IP w przestrzeni Alibaba Cloud, port 443. Z perspektywy monitoringu sieciowego wygląda jak zaszyfrowany ruch HTTPS. Jak normalna aktywność.
Dlaczego antywirus tego nie widzi
Technika użyta w tym ataku to DLL sideloading — jeden z bardziej eleganckich sposobów omijania zabezpieczeń, dlatego że nie wymaga żadnego złośliwego kodu w miejscu, gdzie systemy ochrony go szukają.
System Windows przy wczytywaniu bibliotek DLL przez aplikację szuka ich najpierw w katalogu, z którego uruchamiana jest sama aplikacja — dopiero potem w katalogach systemowych. Atakujący korzystają z tego zachowania: biorą legalny, podpisany plik wykonywalny od zaufanego producenta i umieszczają obok niego złośliwą bibliotekę DLL o nazwie, której ten plik szuka.
W tym przypadku: NOVUpdate.exe — legalny program aktualizujący oprogramowanie antywirusowe G DATA, podpisany certyfikatem producenta. Antywirus widzi znany, zaufany plik od producenta oprogramowania zabezpieczającego. Nie reaguje. Tymczasem NOVUpdate.exe przy uruchomieniu wczytuje avk.dll z tego samego katalogu — a ta wersja avk.dll jest złośliwa i odszyfrowuje właściwy ładunek z zaszyfrowanego pliku NOVUpdate.exe.dat.
Trzy pliki, jeden legalny i podpisany jako widoczny element, dwa złośliwe ukryte za nim. Klasyczna trójka sideloadingowa charakterystyczna dla rodziny PlugX.
PlugX: narzędzie szpiegowskie z szerokim dostępem
PlugX to trojan zdalnego dostępu śledzony w kampaniach szpiegowskich od co najmniej 2008 roku. Historycznie kojarzony jest z operatorami powiązanymi z chińskim wywiadem, ale jego kod źródłowy wyciekł na podziemne fora i trafił do szerszego grona podmiotów. Malwarebytes wprost zastrzega, że atrybucja wyłącznie na podstawie narzędzia jest zawodna — nie wiadomo kto stoi za tą konkretną kampanią.
Co wiadomo: PlugX daje atakującemu pełny zdalny dostęp do zainfekowanej maszyny — rejestrowanie naciśnięć klawiszy, przechwytywanie ekranu, eksfiltracja plików, wykonywanie poleceń. Połączenie nawiązywane jest na port 443, co sprawia że ruch wygląda jak standardowy HTTPS i jest trudniejszy do wykrycia przez filtry sieciowe. Do tego dochodzi modyfikacja klucza rejestru odpowiedzialnego za konfigurację TCP/IP — zmiana, której celem jest zapewnienie stabilności połączeń.
Infrastruktura kampanii była aktywnie utrzymywana: rekordy MX domeny wskazywały na dwie różne platformy masowej wysyłki e-maili — Kingmailer aktywny do 28 marca, CampaignLark od 5 kwietnia. Rotacja między dostawcami sugeruje operatorów, którzy aktywnie zarządzają kampanią i reagują na blokady.
Ten sam mechanizm, zmieniony tylko wabik
Najważniejszy szczegół tej historii jest w jednym zdaniu z raportu Malwarebytes: technika sideloadingowa użyta w tej kampanii była publicznie udokumentowana przez Lab52 w lutym 2026 roku w analizie kampanii używającej fałszywych zaproszeń na spotkania. Trójka plików była identyczna — legalny plik wykonywalny G DATA, złośliwa avk.dll, zaszyfrowany ładunek. Zmienił się tylko wabik: z fałszywego zaproszenia na spotkanie na fałszywy instalator popularnego narzędzia AI.
To jest dokładnie wzorzec opisany przy okazji wycieku Claude Code i malware Vidar: gotowy łańcuch infekcji adaptowany do bieżącego szumu informacyjnego. Nie trzeba wymyślać nowych technik — wystarczy zaktualizować lure. Popularność Claude sprawia, że ludzie aktywnie szukają sposobów pobrania tego narzędzia, często nie z oficjalnego źródła. To jest gotowy rynek dla fałszywych instalatorów.
Yagub Rahimov z Polygraf AI ujmuje to syntetycznie: "Przynęta się zmieniła — na początku 2025 roku był to DeepSeek, teraz Claude — ale mechanizm pod spodem nie zmienił się od lat. Podpisany plik binarny, złośliwa DLL, zaszyfrowany ładunek."
Jak sprawdzić czy jesteś zainfekowany
Jeśli pobierałeś Claude z innego źródła niż oficjalna strona claude.com/download — warto sprawdzić kilka rzeczy.
Folder autostartu: obecność plików NOVUpdate.exe, avk.dll lub NOVUpdate.exe.dat w C:\Users\[użytkownik]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup jest bezpośrednim wskaźnikiem infekcji.
Ścieżka instalacji: fałszywa wersja instaluje się do C:\Program Files (x86)\Anthropic\Claude\Cluade\ — z literówką "Cluade" zamiast "Claude". Prawdziwy Claude instaluje się do C:\Users\[użytkownik]\AppData\Local\AnthropicClaude\.
Logi sieciowe: połączenia wychodzące do adresu 8.217.190.58 na porcie 443 z procesu NOVUpdate.exe.
Jeśli którykolwiek z tych wskaźników jest obecny: odłącz maszynę od sieci, zmień wszystkie hasła z innego urządzenia — PlugX obsługuje keylogging, więc wszystko co było wpisywane po infekcji należy traktować jako skompromitowane.
Podsumowanie
Kampania z fałszywym Claude jest prosta i skuteczna dokładnie dlatego, że nie jest nowa. Stara technika, nowa przynęta. Mechanizm identyczny z tym udokumentowanym kilka tygodni wcześniej, zaadaptowany do gorącego tematu.
Wzorzec widoczny od początku roku jest konsekwentny: każdy głośny news o narzędziach AI staje się natychmiast powierzchnią ataku. Wyciek kodu Claude Code — fałszywe repozytoria z malware. Popularność Claude jako platformy — fałszywy instalator z PlugX. Następny głośny news o AI przyniesie kolejną wariantację.
Jedynym skutecznym zabezpieczeniem jest pobieranie oprogramowania wyłącznie z oficjalnych źródeł. W przypadku Claude: wyłącznie claude.com/download. Żadna "wersja Pro" dostępna gdzie indziej nie jest legitymizowana przez Anthropic.
Źródła
Malwarebytes — pierwotna analiza kampanii z fałszywym instalatorem Claude i PlugX: https://www.malwarebytes.com/blog/scams/2026/04/fake-claude-site-installs-malware-that-gives-attackers-access-to-your-computer
SecurityWeek — omówienie techniki DLL sideloading i łańcucha infekcji: https://www.securityweek.com/fake-claude-website-distributes-plugx-rat/
Hackread — kontekst atrybucji i historia TA416 z PlugX: https://hackread.com/fake-claude-ai-installer-plugx-malware-windows-users/
