近日,网络安全公司EclecticIQ披露新型攻击活动:黑客伪造Gemini CLI与Claude Code官网,通过搜索引擎竞价排名诱导开发者访问钓鱼网站。受害者复制执行伪装成安装命令的PowerShell脚本后,木马与正版工具同步安装,隐蔽性极强。该木马可窃取浏览器Cookie、登录凭据、Local State及数字钱包数据,并支持远程指令执行。攻击发生于全球范围,主要针对AI编程工具使用者。EclecticIQ建议开发者严格核验下载源,企业应启用PowerShell限制语言模式(CLM)并部署FIDO多因素认证以加强防护。
