Penjelasan teknis
Penyerang memanfaatkan fitur obrolan bersama Claude.ai milik Anthropic untuk menampilkan panduan instalasi 'Claude Code on Mac' berbahaya yang mengirimkan MacSync macOS infostealer. Dua kampanye independen teridentifikasi, masing-masing menggunakan domain dan payload berbeda tetapi struktur social engineering identik. Pengguna yang mengklik Google Ads untuk 'Claude mac download' diarahkan ke URL claude.ai asli, tetapi ke obrolan bersama yang dikendalikan penyerang yang menginstruksikan mereka menempel perintah terminal yang mengunduh dan menjalankan malware polimorfik.
Vektor serangan
Malvertising + social engineering. Penyerang membeli Google Ads menargetkan 'Claude mac download,' mengarahkan pengguna ke domain claude.ai asli tetapi ke obrolan bersama yang dihosting penyerang. Obrolan menyamar sebagai dokumentasi Apple Support resmi dan menginstruksikan pengguna menjalankan perintah berkode base64 di Terminal, yang mengambil payload polimorfik dari infrastruktur penyerang.
Sistem yang terdampak
Pengguna macOS yang mencari Claude Code CLI atau unduhan aplikasi Claude. Korban sekunder: organisasi dengan karyawan yang menggunakan Claude Code di macOS. Malware memanen kredensial browser, cookie, dan konten macOS Keychain.
Mitigasi
Pengguna: navigasikan langsung ke claude.ai dan dokumentasi resmi Anthropic; perlakukan setiap instruksi paste-command terminal dengan mencurigai, terlepas dari sumbernya. Organisasi: blokir akses macOS Keychain tidak sah melalui MDM, pantau eksekusi osascript mencurigakan, sarankan pengguna untuk tidak pernah menempel perintah terminal dari antarmuka obrolan AI. Anthropic/Google: terapkan kontrol lebih kuat pada fitur obrolan bersama untuk mencegah peniruan dokumentasi dukungan.