文章总结： 2026年初出现针对AI开发工具的SEO投毒攻击，攻击者伪造GeminiCLI和ClaudeCode安装页面诱导开发者执行恶意PowerShell命令，部署无文件窃密木马。该攻击采用ETW/AMSI绕过、内存驻留等技术，窃取OAuth令牌、CI/CD凭据等高价值数据。建议加强PowerShell约束执行、凭据保护和安全意识培训。 综合评分： 85 文章分类： 供应链安全,恶意软件,威胁情报,安全运营,安全意识

AI开发工具链遭SEO精准围猎：针对Claude/Gemini开发者的供应链投毒

原创

威胁情报中心 威胁情报中心

奇安信威胁情报中心

2026年5月28日 12:00 北京

在小说阅读器读本章

去阅读

背景与事件概述

2026年初，一个针对软件开发者的精准SEO投毒攻击行动浮出水面。EclecticIQ安全研究团队率先披露了这一活动：攻击者通过搜索引擎优化技术，将仿冒的Gemini CLI和Claude Code安装页面推送至搜索结果前列，诱导开发者执行恶意PowerShell命令，从而在目标主机上部署内存驻留型窃密木马。

该行动的核心手法在于利用开发者社区对AI编码工具的迫切需求。攻击者构建了与官方文档高度相似的伪造站点，当开发者搜索”Gemini CLI install”或”Claude Code setup”时，极易误入歧途。执行流程的精妙之处在于：合法的npm包会正常完成安装，而恶意载荷则在后台静默运行，双轨并行导致受害者难以察觉异常。

外部威胁情报验证了本次攻击的持续活跃性。奇安信威胁情报中心查询显示，恶意域名gemini-setup.com于2026年4月23日被标记为高风险失陷指标，DNS解析指向IP 5.8.18.88，该域名注册时间仅距攻击活动曝光四天（2026年4月20日注册），显示出攻击者快速变换基础设施的能力。

攻击链战术技术映射

初始访问与社交工程

本次攻击并未利用传统意义上的软件漏洞（CVE编号未在本次行动中明确披露），而是通过搜索引擎作为主要入侵通道。根据MITRE ATT&CK框架，这属于T1195——供应链投毒的变体实现：攻击者不直接攻陷上游分发渠道，而是利用搜索排序机制使伪造资源获得更高曝光度。

攻击者精心设计了钓鱼站点域名，采用视觉混淆技术（typosquatting）模仿合法产品域名。已确认的恶意域名包括：geminicli[.]co[.]com、gemini-setup[.]com、claudecode[.]co[.]com、claude-setup[.]com、events[.]ms709[.]com。这些域名注册时间集中在2026年3月至4月间，遵循统一的命名模式，表明攻击者具备批量生成钓鱼基础设施的能力。

执行阶段的无文件载荷

受害者被引导至伪造站点后，需要手动复制并执行一条PowerShell命令。这条命令的完整形态为irm | iex——即 Invoke-RestMethod 配合 Invoke-Expression，用于从远程URL直接下载并执行代码。这种远程代码执行技术属于ATT&CK T1105和T1059.003的组合：网络下载配合PowerShell脚本执行。

Install.ps1载荷的关键特征在于完全无文件落地。恶意代码在PowerShell进程中直接加载并执行，不会在文件系统留下任何可检测的artifact。这一特性使得传统的基于静态文件扫描的检测方案失效，同时也大幅降低了触发端点防护产品的概率。

持久化与命令控制

原始分析报告指出，当前版本的Install.ps1脚本未包含显式的持久化机制，但这并不意味着威胁等级降低。攻击者具备的远程代码执行能力（T1104）使其可以随时在被控主机上部署额外的载荷，包括持久化后门。这种“按需投递”的设计理念本身就是一种隐蔽策略。

C2通信通过HTTP协议完成，被窃取的敏感数据以加密形式外传至events[.]ms709[.]com。考虑到该C2服务器同时承载了Claude Code欺骗行动的数据接收功能，可以推断攻击者采用了集中式管控架构。

恶意软件技术架构解析

双层逃逸机制

Install.ps1采用了双层防御规避技术。首先是通过修补Event Tracing for Windows（ETW）降低系统日志记录能力。ETW是Windows核心跟踪架构的核心组件，系统安全日志、PowerShell脚本块日志均依赖此框架。当ETW被修补后，安全团队的日志审计将面临数据缺失的问题。

其次是绕过Antimalware Scan Interface（AMSI）。AMSI是Windows 10/11引入的安全扫描接口，允许反恶意软件解决方案在脚本运行时对其进行检查。通过AMSI绕过，攻击者能够在不触发安全软件报警的情况下执行敏感操作。

外部情报显示，gemini-setup.com被关联至”Android.Generic窃密木马活动事件”，风险级别评定为”high”，涉及TTPs包括T1071（命令与控制——应用层协议）和T1132（数据编码）。这一归类与本次攻击的技术实现高度吻合。

多组件内存马设计

深入分析Payload的代码结构，研究人员识别出三个嵌入式C#组件，这些组件在运行时通过PowerShell动态编译并加载：

组件一：Windows凭据提取器

该组件直接调用Windows Credential Manager API，枚举存储的凭据条目并提取明文密码。在企业环境中，开发者主机通常保存有各类运维账号、服务账户密码，一旦泄露将造成横向移动的跳板效应。

组件二：屏幕指纹采集器

通过采集当前屏幕分辨率信息构建主机唯一标识。这一看似简单的功能实际上是攻击者资产梳理和追踪体系的一部分，便于在后续阶段识别特定目标并排除无关主机。

组件三：进程枚举器

利用Restart Manager API列举当前运行的进程列表。这一Windows API原本用于应用程序重启管理，但被攻击者滥用于环境检测——通过比对进程指纹判断目标是否为沙箱或分析环境，从而决定是否终止执行以逃避动态分析。

沙箱检测与代码混淆

Install.ps1包含约6,800行看似无意义的代码，这些“垃圾代码”并非纯粹填充体积，而是内嵌了沙箱环境检测逻辑。当脚本检测到分析环境特征（如特定进程、虚拟机标识、调试器状态）时，会主动终止执行或进入静默模式，使动态分析难以完整捕获攻击全貌。

被窃数据类型与影响范围

OAuth令牌与CI/CD凭据

本次攻击的窃密目标覆盖了现代软件交付链条的核心凭证类型：

• OAuth访问令牌：用于应用程序身份验证的短期凭证，持有令牌可冒充用户身份访问云服务API
• CI/CD系统凭据：Jenkins、GitLab CI、CircleCI等持续集成平台的访问密钥，一旦泄露意味着攻击者可直接向生产环境植入恶意代码
• 企业VPN详情：远程接入内网的凭证，泄露后允许攻击者绕过边界防火墙直接进入企业内部网络

会话Cookie的绕过效应

攻击者特意针对Slack、Microsoft Teams、Discord、Telegram等协作平台提取会话Cookie。关键风险在于：有效的会话Cookie允许攻击者在不触发二次认证的情况下通过Cookie注入直接建立已认证会话。

这意味着即使用户开启了多因素认证（MFA），只要攻击者获取了有效Cookie，即可完全绕过。MFA的防护价值在这一场景下被显著削弱。外部情报将该域名标记为”credential theft”和”developer targeting”，正是对这一威胁本质的准确概括。

影响范围评估

EclecticIQ通过被动DNS溯源发现，该攻击基础设施集群包含超过30个恶意域名，模仿对象不仅限于AI工具，还扩展至Node.js（npm包管理器）、Chocolatey（Windows包管理）、KeePassXC（密码管理）、Monero（加密货币）等多个领域。这表明攻击者建立了平台化的钓鱼基础设施，具备针对不同开发者群体快速发起定向攻击的能力。

基础设施特征与归因分析

域名注册模式

已识别的恶意域名呈现高度一致的命名规律：使用真实产品名作为二级域名主体，配合近似域名后缀（.co[.]com vs .com、-setup[.]com vs 官方分发域名）。这种模式便于批量生成，且在搜索结果中较易获得排名提升。

域名注册时间线显示：gemini-setup[.]com于2026年4月20日注册，与攻击活动曝光时间高度同步。奇安信情报显示，该域名的注册人信息已被隐藏/whois保护，阻止进一步的归属追踪。

IP基础设施

外部情报显示恶意域名DNS解析指向5.8.18.88。考虑到攻击者快速轮换基础设施的特性，该IP可能已被弃用或作为跳板。当前活跃的C2节点需要通过持续监控进行追踪。

归因不确定性

目前公开情报尚未将该行动明确归属于已知的APT组织或网络犯罪团伙。从TTP特征判断，这更像是追求经济利益的网络犯罪活动：瞄准开发者主机获取高价值凭证，转售或直接用于加密货币挖掘、账户劫持等获利场景。

攻击者对AI开发工具的精准选择反映了当前开发者生态的热点趋势。AI编程助手正在快速普及，开发者对相关工具的安装指南需求激增，这为攻击者提供了理想的社交工程切口。

针对开发者社区的威胁评估

风险暴露面

软件开发者群体面临多重风险叠加：

1. 凭证集中度高：开发者主机通常存储有生产环境访问密钥、Git仓库凭证、CI/CD系统凭据等多种高权限账号
2. 信任边界模糊：开发环境与生产环境之间的网络隔离措施参差不齐，开发者主机往往享有较高的内网访问权限
3. 安全意识差异：开发者群体虽具备技术背景，但对社工攻击的警惕性未必高于普通用户

与传统供应链攻击的区别

本次攻击虽被归类为供应链威胁的变体，但与传统意义上的供应链攻陷（攻陷上游分发渠道）存在本质区别。攻击者选择直接冒充终端用户安装指南，而非篡改上游包仓库（如npm、PyPI）。这种模式的优势在于：无需攻破企业级存储库的安全防护，仅需购买域名即可发起攻击。

国内开发者关联分析

从国内影响视角审视，本次攻击行动的主要目标群体为使用Gemini CLI、Claude Code等AI工具的开发者。考虑到这些工具在国内的开发社区中使用范围相对有限（主要集中于前沿技术团队和研究机构），直接影响的用户规模可能较小。

然而，攻击者批量生成的钓鱼基础设施模式具有可复制性。若类似的SEO投毒手法被移植至国内常用的开发工具（如国产IDE插件、镜像站、npm/cnpm镜像等），可能对更广泛的开发者群体构成威胁。外部情报中”supply chain risk”和”seo poisoning”标签的存在，恰恰反映了业界对这类攻击模式向其他平台扩散的担忧。

检测与狩猎建议

基于行为的检测特征

针对这类无文件攻击，传统的基于文件哈希的IOC匹配效果有限。EclecticIQ建议采用以下行为检测方案：

命令行狩猎查询：

• 监控PowerShell进程执行包含irm | iex模式的命令行
• 告警非交互式PowerShell会话（无用户键盘鼠标输入的PowerShell进程）
• 检测包含异常长度的编码命令行参数

网络层检测：

• PowerShell进程向非白名单域名发起HTTP/HTTPS连接
• DNS日志中出现与已知恶意域名模式相似的解析请求
• 异常的出站数据传输模式

系统层检测：

• 监控ETW相关Event ID的缺失或异常
• 检测PowerShell进程的AMSI绕过行为
• Restart Manager API的异常调用序列

日志关联分析

安全团队应将PowerShell审计日志、Windows安全日志、DNS查询日志、代理日志进行关联分析。当检测到irm | iex模式执行时，立即检查该主机的DNS解析历史和Proxy日志，追踪是否存在对恶意域名的访问。完整的攻击链重建依赖于多源日志的交叉验证。

响应处置流程

一旦确认主机已沦陷，应立即执行以下步骤：

1. 撤销所有存储在该主机上的会话令牌和OAuth凭证
2. 重置CI/CD系统、VPN、协作平台的访问凭据
3. 检查相关账户是否存在异常访问行为（登录时间、地点、设备指纹）
4. 考虑将该主机从网络中隔离并进行完整取证

#

缓解措施建议

终端防护层面

PowerShell约束执行：

启用PowerShell Constrained Language Mode，限制可调用的.NET类型和方法，降低恶意脚本的执行能力。该配置可通过AppLocker或Windows Defender Application Control（WDAC）实现。

凭据保护机制：

• 启用Windows Credential Guard，将凭据与内存隔离
• 限制开发者主机存储明文密码的数量和类型
• 对高权限账户强制实施硬件密钥认证（FIDO2/WebAuthn）

应用层防护

OAuth令牌治理：

• 缩短OAuth访问令牌的生存期
• 强制Refresh Token定期轮换
• 对跨设备访问实施设备指纹验证

MFA增强部署：

虽然会话Cookie可绕过MFA，但实现基于设备可信度和行为分析的上下文认证仍可增加攻击难度。优先推广FIDO2硬件密钥作为第二因素。

安全意识培训

针对开发者群体开展专项安全培训，重点内容包括：

• 官方安装指南的官方来源验证方法
• 识别SEO投毒攻击的常见特征
• 不从搜索结果直接复制安装命令的实践原则
• PowerShell执行可疑命令的风险认知

#

总结

本次SEO投毒攻击代表了针对开发者生态系统的新型威胁模式：攻击者不再依赖传统漏洞利用或供应链攻陷，而是借助搜索引擎作为入侵通道，通过高度逼真的钓鱼站点和社交工程手段诱导受害者自行执行恶意代码。

该行动的战术技术特点鲜明：无文件载荷规避传统检测、多组件设计实现功能模块化、双层防御绕过提升生存能力、精准窃取高价值凭证追求最大化收益。攻击基础设施的平台化特征（30+恶意域名集群）表明，这可能是一个有组织的犯罪团伙所为，而非孤立事件。

对于开发者社区而言，本次攻击敲响了警钟：在AI工具快速普及的背景下，安全意识建设的步伐必须跟上技术采用的速度。终端防护、凭证治理、安全意识三位一体的防护体系，是应对这类复合型威胁的必由之路。

参考来源

• https://blog.eclecticiq.com/seo-poisoning-campaign-leverages-gemini-and-claude-code-impersonation-to-deliver-infostealer
• https://adsecvn.com/lo-hong-cve-nguy-hiem-seo-poisoning-nham-nha-phat-trien/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信威胁情报中心 《AI开发工具链遭SEO精准围猎：针对Claude/Gemini开发者的供应链投毒》