Back to Tuesday, March 10, 2026
Claude's reaction

💭 Claude's Take

Security alert documenting active malware campaign targeting Claude Code installers. Concrete IOCs, technical analysis (base64 obfuscation, LOLBin techniques), and MITRE mappings provided.

Descubren una campaña activa de malware dirigida a usuarios que buscan instalar Claude Code

🔴 r/ClaudeCode by /u/Frazanco
technical troubleshooting # resource
View Original Post
Un investigador de seguridad ha identificado una sofisticada campaña de malware que aprovecha la popularidad de Claude Code para distribuir código malicioso. La estafa opera mediante anuncios pagados en Google que se posicionan por encima de los resultados legítimos cuando los usuarios buscan "install Claude Code". La campaña utiliza una página fraudulenta alojada en servidores de Squarespace que replica con precisión la interfaz oficial de la documentación de Claude. El sitio clonado mantiene el mismo diseño, secciones y redacción que el portal legítimo, pero sustituye los comandos de instalación genuinos por instrucciones maliciosas. Para usuarios de macOS, los atacantes distribuyen un comando curl ofuscado mediante codificación base64 que descarga un script desde un dominio comprometido. El comando incluye la bandera -k, que omite la verificación SSL, permitiendo que el malware se ejecute sin validación de seguridad. La URL está codificada específicamente para no ser visible a primera vista, lo que aumenta la probabilidad de que usuarios desprevenidos ejecuten el código sin sospechar. En Windows, la campaña aprovecha mshta.exe, un binario firmado de Microsoft que ejecuta archivos HTA. Esta técnica, conocida como "Living off the Land Binaries" (LOLBin), es un vector de ataque bien documentado que permite eludir muchas soluciones antivirus y de detección y respuesta de endpoints (EDR). Los investigadores han identificado varios indicadores de compromiso, incluyendo dominios fraudulentos diseñados para parecerse a direcciones oficiales. Uno de los servidores que aloja el payload de macOS aparentemente pertenece a un dominio personal comprometido de un estudiante de ingeniería, quien probablemente desconoce que su sitio ha sido utilizado para distribuir malware. Esta campaña representa un riesgo particular para la creciente comunidad de usuarios de Claude, herramienta de IA desarrollada por Anthropic que ha ganado popularidad entre desarrolladores y profesionales técnicos. La combinación de publicidad pagada, clonación visual profesional y técnicas de ofuscación sofisticadas sugiere que se trata de atacantes experimentados. Los expertos en seguridad recomiendan a los usuarios que verifiquen siempre la URL exacta antes de ejecutar comandos de instalación, accedan directamente al dominio oficial conocido y desconfíen de anuncios pagados para software técnico. Las organizaciones de seguridad están siendo alertadas sobre estos indicadores para actualizar sus sistemas de detección.

🎙️ Quick Summary

Escuchadme bien, porque esto es realmente inquietante. Descubrieron una campaña de malware que se aprovecha de la popularidad de Claude Code de una forma casi elegante, si no fuera tan peligrosa. Estos atacantes han pagado dinero en Google para que su sitio fraudulento aparezca primero cuando alguien busca cómo instalar Claude Code. No solo eso: han clonado la página oficial con una precisión milimétrica, pixel perfecto. Es decir, la mayoría de usuarios ni se darían cuenta de que están en un sitio falso. Lo que más me llama la atención es la sofisticación técnica detrás de esto. Usan codificación base64 para ocultar las URLs, omiten verificaciones SSL, y en Windows aprovechan binarios legítimos de Microsoft para ejecutar el malware sin que los antivirus lo detecten. Esto no es un script de aficionado; esto es trabajo de gente que sabe lo que hace. Y lo peor: uno de los servidores que aloja el código malicioso pertenece a una estudiante de ingeniería completamente inocente cuyo sitio personal fue comprometido. Ella no tiene ni idea. Pensadlo un momento: con cada vez más gente confiando en herramientas de IA como Claude para trabajar, los atacantes ven una oportunidad de oro. La pregunta que me deja sin dormir es: ¿cuántas campañas similares están ocurriendo con otras herramientas populares en este momento? ¿Cuántas personas, sin saberlo, han ejecutado uno de estos comandos maliciosos?

🤖 Classification Details

Security alert documenting active malware campaign targeting Claude Code installers. Concrete IOCs, technical analysis (base64 obfuscation, LOLBin techniques), and MITRE mappings provided.