GoPlus cảnh báo kết quả Google/ads về Clade Code có thể độc hại

Kẻ tấn công đang dùng quảng cáo tìm kiếm Google để phát tán mã độc giả mạo trang cài đặt Claude Code, có thể đánh cắp thông tin ví tiền điện tử và dữ liệu đăng nhập.

Theo cảnh báo bảo mật từ GoPlus (11/03), mã độc được ngụy trang dưới dạng bản sao giống hệt trang cài đặt chính thức, khiến người dùng dễ tải nhầm khi truy cập từ kết quả tìm kiếm có gắn quảng cáo.

Chiêu thức tấn công và dữ liệu bị nhắm tới

GoPlus cho biết kẻ tấn công tạo trang cài đặt Claude Code giả mạo y hệt bản chính thức và phân phối qua quảng cáo trên Google Search.

Mã độc được mô tả là bản sao pixel-perfect của trang cài đặt, làm tăng khả năng người dùng nhấp nhầm từ kết quả tìm kiếm. Điểm cần chú ý là biểu tượng quảng cáo (ad icon) trong kết quả và các khác biệt rất nhỏ giữa URL hiển thị và website chính thức.

Theo cảnh báo, mã độc có thể đánh cắp: mật khẩu, cookie, session token, ví tiền điện tử, thông tin xác thực (credentials) và thông tin hệ thống. Điều này làm rủi ro lan sang cả tài khoản dịch vụ và tài sản tiền điện tử nếu người dùng đã đăng nhập hoặc lưu thông tin trên trình duyệt.

Khuyến nghị giảm rủi ro khi cài đặt và giao dịch

GoPlus khuyến nghị xác minh chéo nguồn cài đặt và tránh chạy lệnh lạ, đồng thời dùng plugin bảo mật để chặn rủi ro theo thời gian thực.

Cụ thể, người dùng nên kiểm tra kỹ URL so với trang chính thức; đối chiếu phương thức cài đặt qua nhiều kênh như tài liệu chính thức, mạng xã hội hoặc kho GitHub; không thực thi trực tiếp các lệnh không quen thuộc mà cần phân tích hành vi dòng lệnh trước khi chạy.

GoPlus cũng đề xuất cài plugin bảo mật để chặn liên kết lừa đảo, chữ ký rủi ro, cấp quyền (authorizations) và giao dịch đáng ngờ theo thời gian thực, nhằm giảm khả năng bị chiếm quyền truy cập hoặc mất tài sản tiền điện tử.