虚假文档页面如何渗透现代开发人员工作流

对虚假 Claude Code 安装程序的技术剖析，该程序推送一个绕过 Chrome 144 应用绑定加密以针对开发人员的 PowerShell 窃取程序。

2026年5月11日

想象一下一位名叫 Alex 的中级软件工程师。现在是周二下午 3:00，Alex 正想从一项乏味的重构任务中节省出 20 分钟。他们听说过很多关于 Claude Code 的好评，这是 Anthropic 推出的用于代理编码的命令行界面。快速搜索“安装 claude code”后，出现了一个赞助结果，看起来与官方文档完全一致。页面整洁，排版完美契合 Anthropic 的审美，并且有一个简单的单行 PowerShell 命令，随时可以复制并粘贴到终端中。

Alex 和成千上万面临交付压力的开发人员一样，信任搜索引擎的排名。他们复制了命令，将其粘贴到管理外壳中，然后按下回车键。对于 Alex 来说，安装似乎正常进行。然而，在幕后，他们的工作站刚刚成为了一个复杂活动的初始访问点，该活动旨在剥离浏览器中的凭据，并渗透到其组织基础设施的核心。

从风险角度来看，这不仅仅是另一次网络钓鱼攻击。这是一次针对数字王国守门人的精确引导打击。这一活动最初由 Ontinue 的网络防御中心于 2026 年 5 月 11 日详细披露，突显了威胁行为者关注点的转变。通过针对开发人员用于构建的工具，攻击者实际上绕过了正门，直接走进了服务器机房。

权威文档的幻象

这一活动的精妙之处在于其简单性。攻击者不仅建立了一个虚假网站，还建立了一个镜像。诱饵页面模仿了合法的 Claude Code 文档布局，但有一个关键的偏差：HTML 中呈现的安装命令被更改了。虽然真正的 Anthropic 命令是从受信任的存储库提取的，但恶意版本指向了 2026 年 4 月在一阵密集活动中注册的三个由操作员控制的域名之一。

当我第一次查看与此活动相关的网络流量时，我注意到一种旨在击败自动 URL 扫描器的巧妙手法。如果沙箱或爬虫等安全工具直接请求 /install.ps1 文件，服务器会返回一个真实 Claude Code 安装程序的逐字、干净的副本。只有在检测到特定的标头或类似浏览器的行为时，它才会提供恶意负载。这在数字上相当于木马，只有在安全进入城墙后才会打开陷阱门。

解耦攻击：PowerShell 原生拆分

一旦执行，受害者的终端不仅会安装编码工具，还会获取一个 600 KB 的 PowerShell 加载程序。这个脚本经过了深度混淆——这是一种常见的策略，但它处理实际窃取的方式引起了我的注意。主动来说，大多数行为检测规则会在单个进程中寻找可疑活动。如果一个原生二进制文件开始建立网络连接并读取浏览器数据库，就会触发警报。

为了规避这一点，攻击者使用了拆分架构设计。PowerShell 加载程序负责环境的繁重工作：它枚举 Chromium 家族浏览器，如 Chrome、Edge、Brave、Vivaldi，以及较新的 Arc 或 Perplexity Comet。然后，它将一个微小的、4608 字节的原生助手反射式地注入到一个活跃的、合法的浏览器进程中。

这个助手是极简主义的杰作。它不包含网络、文件或加密导入。在取证隔离中，该二进制文件看起来几乎是惰性的。它的唯一目的是充当桥梁，调用浏览器的内部接口来检索加密密钥。当 PowerShell 脚本使用这些密钥读取包含 Cookie 和密码的 SQLite 数据库时，“恶意”行为已经分布在操作系统的不同层级，使得传统的终端检测和响应 (EDR) 工具几乎无法察觉。

绕过数字金库：IElevator2 漏洞利用

攻击的架构核心针对现代浏览器中的一项特定安全功能：应用绑定加密 (App-Bound Encryption)。引入该功能正是为了阻止此类窃取，应用绑定加密将敏感数据与应用程序的身份绑定，理论上防止了第三方脚本简单地抓取 Cookie 文件夹并运行。

然而，这一活动背后的威胁行为者一直以掠夺性的专注跟踪 Chromium 的上游变化。在 2026 年 1 月 Chrome 144 发布后的 60 天内，他们就已经调整了加载程序，以针对 IElevator2 COM 接口。就数据完整性而言，该接口旨在作为一项高权限服务，允许浏览器执行特定任务。恶意软件诱骗该服务交出主密钥，有效地将浏览器自身的安全机制转化为攻击工具。

在我分析 APT 级加载程序的经验中，这种敏捷程度是罕见的。这表明操作者不是一个使用泄露工具包的脚本小子，而是一个专注于击败 Chromium 安全路线图的开发团队。有趣的是，他们留下了自己失误的签名：嵌入的 Edge IElevator2 标识符中存在转录错误。Data3 字段中的两个半字节被转置了。这导致最初的高科技调用失败，迫使恶意软件回退到较旧、噪声较大的接口。对于防御者来说，那个畸形的标识符是一份礼物——一个高置信度的检测签名，可用于在整个网络中搜寻这一特定家族。

作为高价值枢纽点的开发人员

我们经常在行政助理或财务团队的背景下谈论人为防火墙，但开发人员代表了一种独特且普遍的风险。正如 Black Duck 的 AI 研究工程师 Vineeta Sangaraju 所指出的，受损的开发人员工作站很少是攻击者的终点。它是一个枢纽。

开发人员通常拥有对任务关键型资产的广泛访问权限。他们的机器持有 GitHub、AWS 和内部 CI/CD 流水线的会话 Cookie。他们拥有生产服务器的 SSH 密钥和绕过多因素身份验证的 API 令牌。一个受损的工作站不会保持受限状态，它会产生级联效应。它会转向源代码存储库，攻击者可以在其中向下游软件注入后门，这是我们在 SolarWinds 等系统性供应链攻击中看到的举动。

此外，该恶意软件还包括一个“区域排除”列表。如果加载程序检测到主机位于俄罗斯、伊朗或其他独联体国家，它会静默退出。这是在这些地区开展活动的行为者的共同特征，他们希望避免当地执法部门的审查，为技术分析增加了一层地缘政治背景。

构建针对工具攻击的弹性防御

那么，我们如何防御看起来像开发人员工作流合法部分的攻击呢？撇开补丁不谈——因为这种恶意软件利用的是有效接口而非未修复的漏洞——我们必须审视架构控制。

主动来说，最有效的对策是强制执行 PowerShell 受限语言模式 (CLM)。这限制了脚本调用反射式注入所需的复杂 COM 和 Win32 API 的能力。当与强大的脚本块日志记录相结合时，它允许 SOC 分析师看到攻击的“方式”，即使“内容”被混淆了。

此外，我们需要将开发人员工作站视为高信任、高风险的环境。这意味着：

实施 Web 内容过滤，拦截新注册的域名（注册时间少于 30 天），这将使这一特定活动失效。
从长期会话 Cookie 转向用于访问云基础设施的短期、硬件绑定的令牌。
就从非官方来源“复制粘贴”安装的风险对工程团队进行教育，即使这些来源出现在搜索结果中。

归根结底，安全是一场以 Chrome 发布周期速度进行的猫鼠游戏。这一活动证明，威胁行为者不再等待零日漏洞；他们只是在等待我们复制错误的代码行。

IT 和安全负责人的关键要点

验证来源： 确保开发人员仅从官方、经过验证的存储库（例如直接的 GitHub 发布或官方 npm/pip 注册表）提取 CLI 工具和包，而不是从第三方文档镜像提取。
监控 COM 活动： 使用 EDR 工具监控调用 IElevator 和 IElevator2 接口的异常进程，特别是寻找畸形的 Edge IID 签名。
实施持久性搜寻： 审计计划任务中指向外部、非公司 C2 域名的异常轮询间隔（例如每分钟一次）。
强制执行最小权限： 使用 Windows AppLocker 或类似技术防止未经授权的 PowerShell 加载程序在高权限上下文中执行。

来源：