Bybit advierte suplantación a Claude Code
El Centro de Operaciones de Seguridad (SOC) del exchange Bybit publicó el pasado 21 de abril un informe detallando una activa campaña de malware dirigida a usuarios de macOS. Los atacantes han puesto en marcha una suplantación de identidad de Claude Code, la herramienta de desarrollo con inteligencia artificial de Anthropic, con el objetivo de robar credenciales y criptoactivos.
Según el análisis del equipo de seguridad de Bybit, el malicioso apunta a más de 250 extensiones de wallets de criptomonedas instaladas en navegadores, así como a diversas aplicaciones de escritorio. La investigación ha documentado intentos de sustituir aplicaciones legítimas, como Ledger Live y Trezor Suite (las interfaces oficiales para las wallets físicas de estas marcas), por versiones falsificadas alojadas en infraestructura controlada por los atacantes.
Ingeniería social mediante SEO
La campaña fue detectada inicialmente el 12 de marzo y mitigada el mismo día, aunque la divulgación técnica se ha producido ahora. Los atacantes han aprovechado la creciente popularidad de Claude Code entre los desarrolladores —una herramienta que permite delegar tareas de código desde la terminal— como gancho principal.
La táctica principal utilizada ha sido el envenenamiento de SEO (Search Engine Optimization). Los responsables han manipulado los resultados de búsqueda en Google para posicionar un dominio malicioso en los primeros lugares cuando los usuarios buscaban «Claude Code».
Al hacer clic en el enlace, los usuarios eran redirigidos a una página web diseñada para imitar fielmente la documentación oficial de Anthropic. Desde este sitio, se descargaba un instalador infectado.
Funcionamiento técnico del malware
El malware opera en dos fases distintas, lo que lo hace particularmente peligroso y persistente:
-
Extracción de información (Stage 1): La primera etapa despliega un programa basado en oscript, el lenguaje de automatización de macOS. Este script permite a los atacantes extraer:
- Credenciales guardadas en los navegadores.
- Datos del llavero de macOS (el sistema donde el sistema operativo almacena contraseñas y claves de acceso).
- Sesiones activas de Telegram.
- Perfiles de redes privadas virtuales (VPN).
- Datos de aplicaciones financieras.
-
Persistencia y control remoto (Stage 2): La segunda etapa instala una puerta trasera (backdoor) escrita en lenguaje C++. Este componente posee capacidades avanzadas de evasión, incluyendo la detección de entornos de análisis de seguridad y la ejecución remota de comandos. El backdoor establece persistencia mediante agentes del sistema, permitiendo a los hackers mantener el control total sobre los dispositivos comprometidos.
La combinación de credenciales robadas, acceso al llavero del sistema operativo y la sustitución de aplicaciones legítimas permite a los atacantes obtener acceso directo a los fondos de las víctimas.
Contexto y tendencias de amenaza
Bybit no atribuyó la campaña a un grupo específico, aunque señaló similitudes con familias de malware conocidas como AMOS y Banshee.
Este patrón se alinea con otras campañas recientes, como la de «Mach-O Man», un kit de malware para macOS atribuido al Grupo Lazarus de Corea del Norte. Ambas campañas tienen como objetivo principal a desarrolladores y ejecutivos del ecosistema cripto que utilizan macOS, un sistema operativo históricamente percibido como seguro.
La diferencia radica en el vector de entrada: mientras «Mach-O Man» utilizaba invitaciones falsas a reuniones por Telegram, la campaña documentada por Bybit emplea la manipulación de resultados de búsqueda.
Este escenario evidencia un cambio en las tácticas de los ciberdelincuentes: el desplazamiento del ataque desde la infraestructura técnica hacia la ingeniería social dirigida a las personas que operan esa infraestructura.
Cabe destacar que el equipo SOC de Bybit logró una reducción del 70% en los tiempos de generación de reportes de amenazas gracias al uso de inteligencia artificial en sus procesos de detección.
