文章总结： EclecticIQ报告显示黑客伪造GeminiCLI与ClaudeCode钓鱼网站，通过竞价排名诱导开发者执行恶意PowerShell脚本，该木马可窃取浏览器Cookie、登录凭据、数字钱包等数据并具备远程控制能力。建议开发者验证下载来源、启用PowerShell限制语言模式及多因素认证防护。 综合评分： 82 文章分类： 恶意软件,网络安全,安全意识,威胁情报,安全工具

【安全圈】黑客借山寨 Gemini、Claude 网站散播木马

安全圈

2026年6月6日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

木马

随着 AI 辅助编程快速普及，Gemini CLI 与 Claude Code 等开发工具近期热度持续攀升，而黑客也开始借此针对开发者发动新一轮攻击。

网络安全公司 EclecticIQ 日前发布报告称，有大量黑客正在伪造 Gemini CLI 与 Claude Code 网站，并利用竞价排名方式提升山寨网站搜索权重，诱骗开发者下载被植入木马的安装程序，最终执行恶意 PowerShell 指令。

参考通报获悉，黑客注册了多个与官方页面高度相似的钓鱼网站，当开发者访问这些网站后，页面会引导用户复制并执行一段 PowerShell 安装命令。表面上看，这些命令是在安装 Gemini CLI 或 Claude Code，但实际上会先下载并执行木马。事实上，为了降低用户警觉性，相应脚本还会在后台同时安装真正的 Gemini CLI 或 Claude Code，让受害者误以为软件安装一切正常。

具体来看，相应木马会收集受害者设备上的浏览器 Cookie、登录凭据、Local State 数据、数字钱包内容等，同时其还具备远程执行命令能力，意味着黑客后续能够进一步控制受害者设备。

针对这类攻击，EclecticIQ 提醒开发者务必仔细核查软件下载来源，不要轻信搜索引擎结果。同时建议企业统一启用 PowerShell 的 ” 限制语言模式 “（Constrained Language Mode，CLM），并采用 FIDO 安全密钥等多因素认证机制，以降低身份凭据被盗带来的风险。

END

阅读推荐

【安全圈】WeedHack 恶意木马曝光，专针对《我的世界》玩家发起攻击

【安全圈】谷歌云又裁员，安全团队也中招

【安全圈】Gamaredon 利用 WinRAR 漏洞对乌克兰目标发起模块化间谍攻击

【安全圈】新“炸弹”拒绝服务攻击曝光：单机拖垮服务器，约 10 秒耗尽 32GB 内存

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】黑客借山寨 Gemini、Claude 网站散播木马》