¡Cuidado! Falsifican a Claude Code para vaciarte las criptomonedas, Bybit suena la alarma

El Centro de Operaciones de Seguridad (SOC) del exchange Bybit lanzó la alerta este 21 de abril porque detectaron una campaña activa de malware para macOS que se hacía pasar por Claude Code, la herramienta de desarrollo con inteligencia artificial de Anthropic, para robar credenciales y criptomonedas.

El equipo de Bybit explicó que el malware atacó más de 250 extensiones de wallets de criptomonedas instaladas en navegadores, y también varias apps de escritorio.

Además, hallaron que los hackers intentaron reemplazar apps legítimas como Ledger Live y Trezor Suite (que son las interfaces de las wallets físicas más conocidas) con versiones falsas que estaban controladas por ellos.

Bybit detectó toda la estructura maligna, puso filtros para proteger a sus usuarios y compartió info con toda la comunidad, pero eso no quiere decir que lograron detener la campaña, que todavía podría estar activa.

—

¿Cómo se movían los hackers?

Según el equipo de Bybit, la campaña la cacharon el 12 de marzo y la mitigaron ese mismo día. Pero la información técnica más completa salió en el reporte de ayer.

Los atacantes aprovecharon que Claude Code está súper popular entre desarrolladores, porque les ayuda a delegar tareas de código desde la terminal, y usaron eso como cebo para la trampa. Según Bybit, esto refleja una tendencia de ataques que usan herramientas populares de IA para engañar.

Para enganchar a las víctimas, los hackers usaron una técnica llamada envenenamiento de SEO, que consiste en manipular los resultados de Google para que su página falsa apareciera primero cuando alguien buscara Claude Code.

La gente que daba clic terminaba en una página falsa que imitaba la documentación oficial y ahí se descargaba un instalador maldito.

El malware funcionó en dos fases: primero instaló un programa que roba info usando osascript, un lenguaje para automatizar macOS.

Con eso, los hackers podían sacar credenciales de navegadores, datos guardados en el llavero de macOS (donde se guardan contraseñas y claves), sesiones activas de Telegram, perfiles de VPN y datos de apps financieras.

En la segunda fase, instalaban una puerta trasera escrita en C++ con trucos para que no la detectaran, como identificar si estaba en un entorno de análisis o ejecutar código remoto. Esta puerta trasera les daba acceso constante y total a las máquinas infectadas.

Con toda esa info robada, los hackers podían acceder directo a los fondos de las víctimas.

Bybit no señaló a ningún grupo específico detrás del ataque, pero sí vio que el malware se parece a las familias AMOS y Banshee. Además, mencionaron que la IA les ayudó a reducir un 70% el tiempo para generar reportes de amenazas.

—

Ya hay otros grupos que usan esta jugada contra el mundo cripto

El estilo de ataque coincide con el de “Mach-O Man”, un kit malicioso para macOS ligado al grupo Lazarus de Corea del Norte, que también reportó CriptoNoticias hace poco.

Ambos ataques van directo a desarrolladores y ejecutivos que usan macOS en el mundo cripto, rompiendo la idea de que es un sistema seguro. Los dos roban info clave del llavero, sesiones de navegador y datos de wallets.

Lo que cambia es cómo empiezan el ataque: “Mach-O Man” usa invitaciones falsas en Telegram, mientras que el de Bybit entra con manipulación de resultados de búsqueda.

Al final, la movida está en enfocar el ataque no solo en la tecnología, sino en engañar a la gente que la usa y la controla.