惡意程式
台灣佔全球受害流量 30.5%:從 GitLab Pages 到 claude.ai 共享對話,ClickFix 惡意廣告活動攻擊鏈分析
趨勢科技TrendAI™ 研究團隊揭露一起為期七週的持續性惡意廣告攻擊活動,攻擊者冒充 Claude、ChatGPT Codex、Cursor IDE 等 AI 開發工具,透過 Google Ads 將受害者引導至 ClickFix 社交工程頁面,誘導其手動執行終端機指令,最終部署 MacSync 資訊竊取程式,蒐集瀏覽器憑證、SSH 金鑰及加密貨幣錢包資料。 攻擊基礎設施歷經六波演進,從 GitLab Pages 的 92 個惡意子網域,全面轉移至 claude.ai 共享對話功能——受信任網域使瀏覽器警告、URL 檢查及 Safe Browsing 偵測全數失效。亞太地區佔所有確認受害流量的 67.4%,台灣以 30.5% 高居全球首位。
Save to Folio
重點摘要:
- 在短短七週之內,TrendAI™ Research 在六波不同的攻擊行動中追蹤到 106 個非重複的惡意主機名稱,駭客不斷變換基礎架構並測試新的 AI 品牌誘餌以便讓攻擊行動發揮最大成效。
- 這起攻擊行動做了一項重大的戰術性變更,改用 claude.ai 的共享聊天 (shared chat) 功能作為武器,將受害者帶到一個完全正常且受信任的網域,這樣就更容易避開瀏覽器警告、網址檢查,以及 Safe Browsing (安全瀏覽) 這類經驗式安全機制。
- 亞太地區是這起攻擊行動的重災區,所有已確認受害者有 67.2% 集中於此,光台灣就占了總流量的 30.5%,這樣的集中程度味著駭客蓄意針對該地區投放廣告,而非隨機散播。
- Anthropic 在接獲 TrendAI™ Research 通知之後,隨即展開調查並禁掉了相關的帳號、停用了惡意的共享對話,並且在共享聊天功能上設置了額外的濫用防範措施。
TrendAI™ Research 追蹤到一起持續的惡意廣告攻擊行動,利用 Google Ads 來從事 ClickFix 社交工程攻擊,假扮成熱門的 AI 開發人員工具。該行動至少冒用了六個品牌名稱,包括:ChatGPT Codex、Perplexity、Cursor IDE、JetBrains、Claude AI 以及 claude.ai,同一時間還投放了 Mac 工具詐騙誘餌。
駭客利用付費搜尋廣告瞄準積極尋找 AI 開發工具的使用者,駭客之所以鎖定這些熟悉技術的使用者,是因為他們更有可能在不起疑的情況下執行這些指令列命令。這起攻擊可說是 ClickFix 社交工程技巧的精密進化版,受害者被騙透過手動方式執行了惡意指令,駭客通常以「修復」問題或完成軟體安裝程序為由,讓受害者複製並貼上 PowerShell 指令或終端機指令。
駭客在 GitLab Pages 上使用了 92 個非重複的惡意主機名稱。由於 GitLab Pages 提供了免費的靜態網站代管 (在受信任的 *.gitlab.io 網域之下),因此駭客利用它來避開資安過濾規則的偵測,讓一些對資安比較敏感的使用者不容易起疑。駭客建立了數十個模仿正常軟體下載頁面的子網域,並快速交替使用這些網頁躲避偵測和攔截。
後來,這起行動又改用 claude.ai 的共享聊天功能來提供 ClickFix 社交工程指示。Anthropic 在接獲 TrendAI™ Research 通知之後,隨即展開調查並禁掉了相關的帳號、停用了惡意的共享對話,並且在共享聊天功能上設置了額外的濫用防範措施。
本文的分析涵蓋了這起攻擊行動從 2026 年 4 月 8 日至 6 月 14 日的活動,後續 TrendAI™ Research 仍會繼續監控是否有進一步的活動。
駭客如何利用 AI 開發人員工具作為誘餌
絕大多數的攻擊行動 (82.8% 的流量) 都瞄準正在尋找 AI 開發工具的使用者。駭客在短時間內假冒了好幾個 AI 品牌,顯示駭客應該是在針對 AI 工具生態系進行關鍵字測試,以便找出最容易吸引受害者的品牌:
- Claude AI (Anthropic):這是整起攻擊行動的主要目標。攻擊行動使用到的關鍵字包括「Claude Code」、「Claude Desktop」和「Claude Desktop LM」,這些都是 Anthropic 的產品,表示駭客對該公司的產品陣容有細研究。
- ChatGPT Codex (OpenAI):在第 3 波行動中導入,並於第 4 波行動中擴大使用,主要是利用 OpenAI 的程式碼生成工具的熱潮。
- Perplexity AI:單一但持續的誘餌 (perplexity-platform.gitlab.io),專門針對正在尋找 AI 搜尋引擎的使用者。
- Cursor IDE:專門針對 AI 原生程式碼編輯器使用者的誘餌,顯示駭客已意識到開發人員工具的發展趨勢。
- JetBrains:專門針對知名 IDE 產品使用者 (專業開發人員) 的誘餌,試圖將觸角拓展到 AI 原生工具之外。
除了以 AI 為主題的攻擊之外,駭客還使用相同的基礎架構來提供 Mac 工具詐騙網頁,這是一種經典的惡意廣告類別。它使用了像 mac-clean-storage、 fixmymac 和 mac-support 這樣的主機名稱,意味著駭客瞄準的是正在尋找磁碟清理或系統維護工具的使用者。一起攻擊行動中同時出現兩種主題,強烈顯示駭客正在試圖將誘餌多元化。
攻擊行動時間軸
TrendAI™ Research 的監測資料從 4 月 8 日開始每週都會發現其攻擊行動,每週有新的網頁、關鍵字,以及瞄準的地理區域。
第 1 波:最早一波 (4 月 8–13 日)
753 筆流量和 18 個主機名稱
這波攻擊行動以 claude-code-app.gitlab[.]io 為主要誘餌 (486 筆流量),並以 claudeapp.gitlab[.]io 作為備援。同一時期駭客還投放了 Mac 工具相關的誘餌 (mac-clean-storage.gitlab[.]io 及 mac-guide-tool.gitlab[.]io),顯示駭客正同步發動兩起平行的攻擊。
光是一個 Google Ads 攻擊行動 ID (23736589328) 就囊括了大多數的攻擊流量,主要集中在台灣 (194 筆流量)、馬來西亞 (36 筆) 及日本 (34 筆)。這波攻擊在 4 月 10 日達到整起攻擊行動的最高峰 (高達 192 筆)。
第 2 波:多元化 (4 月 14–21 日)
246 筆流量與 23 個主機名稱
在第 2 波當中,gitlab.io 網域之下出現了新的 Claude 誘餌 (claude-tool-app、clauddesktop-app、claudesktop、claude-desktop-apps),以及更多的 Mac 工具誘餌 (macsupp-group、macsupp-usb、jetbrains-apps-group)。此外也加入了「jetbrains」相關的誘餌,顯示駭客有意瞄準專業軟體開發人員。
第 3 波:尖峰基礎架構 (4 月 22–28 日)
652 筆流量與 28 個主機名稱
這波攻擊新增了 perplexity-platform.gitlab.io (33 筆流量) 和 chatgpt-codex.gitlab[.]io (12 筆),將冒充的品牌拓展至 Claude 之外的其他 AI 平台。此外,還建立了新的網域:claude-desktop-lm.gitlab[.]io (203 筆流量) 和 cladesktop.gitlab[.]io (135 筆) 並創造了更多流量,這表示 (相較於 Perplexity 或 ChatGPT) 似乎有更多人正在搜尋 Claude 相關的關鍵字。
第 4 波:轉移到 ChatGPT 與 Codex (4 月 29 日至 5 月 5 日)
248 筆流量與 26 個主機名稱
駭客大量移轉至 ChatGPT 和 Codex 這兩個品牌:codexgpt.gitlab[.]io (43 筆流量)、chatgpt-codex-app.gitlab[.]io (23 筆) 和 chatgpt-codex-lm.gitlab[.]io (20 筆)。
在此同時,Claude 相關的攻擊還是依然持續:claudecode-desktop.gitlab[.]io (112 筆) 和 claudecode-download.gitlab[.]io (19 筆)。
第 5 波:濫用 claude.ai 平台 (5 月 6 日至 14 日)
294 筆流量,並且轉移至 claude.ai
在這波攻擊中,攻擊行動捨棄了自行代管的 GitLab Pages,改為利用 claude.ai 的共享聊天功能。駭客將 claude.ai 上的「共享聊天」功能變成攻擊武器 (至少觀察到 45 個非重複的共享 ID),並且直接投放指向這些網址的 Google Ads。這波流量絕大多數都來自 claude.ai 的共享聊天功能 (289 筆)。
這表示攻擊行動更上層樓:受害者現在連上的是 claude.ai 本尊,這是一個完全正派且受到信賴的網域,這讓駭客的攻擊與真實的內容幾乎分辨不出差別。
這波行動也擴大了攻擊的地理範圍,其社交攻擊陷阱的受害者主要來自新加坡 (43)、台灣 (35)、印度 (23)、義大利 (21) 以及法國 (20)。
第 6 波:完全切換到 claude.ai 的共享聊天功能 (5 月 21 日至 6 月 14 日)
337 筆流量,所有觀察到的活動都出現在 claude.ai 的共享聊天功能中
這一波攻擊行動充分運用了 claude.ai 正常的共享聊天功能,我們至少發現了 61 個非重複的共享 ID 和 33 個新的 Google 行動 ID。
這樣的轉變之所以特別危險,是因為它讓每一種傳統防禦機制都失效:找不到可疑的網域可標記、找不到拼字錯誤可讓過濾規則攔截,同時也找不到信譽不良的主機可以讓資安工具封鎖。誘餌現在也使用與正常產品一樣受信任的基礎架構,這讓資安人員沒有自動化控管機制可作為最後屏障,除了仰賴一般使用者的戒心之外,但使用者通常是最不可靠的。
claude.ai 的共享聊天功能如何遭到濫用
該行動在 5 月 6 日轉移至 claude.ai 共享聊天功能的作法,象徵惡意廣告的重大戰術創新。駭客利用 claude.ai 的「共享」(Share) 功能,在一個受到完全信任的網域上放置永久、可公開存取的網址。以下詳細說明駭客如何將共享聊天功能當成一種新的攻擊管道。
- 受害者搜尋 AI 助理
誘餌若要能運作,瀏覽者必須信任 Google 贊助的廣告以及隨後看到的 claude.ai 和 gitlab.io 兩個網域。只指定 site:claude.ai 來執行搜尋,就能跳出一些與正常搜尋結果看不出差別的廣告。
儘管我們無法直接複製「贊助的搜尋結果」,但 TrendAI™ Research 卻觀察到一些有關「claude」、「claude download」的搜尋查詢被重導至前面提到包含「/share/」的惡意網址。
- 受害者一點選就會前往一個真實的 claude.ai 共享網址
廣告會重導至一個長得像這樣的 Claude 的共享聊天網址:claude[.]ai/share/<uuid>?gad_source=1&gad_campaignid=<id>&gbraid=…&gclid=.... 由於該網頁是架設在 claude.ai 上,並且含有有效的憑證,因此一些資安過濾機制 (如:瀏覽器指標、網址檢查,甚至是像 Safe Browsing 這類的經驗式分析) 都無法發現問題。
- 在聊天中假冒支援人員告訴使用者開啟終端機
駭客會在共享聊天當中假扮成「Apple Support」或「Corda Team」,並使用一個精心設計的頁面標題,同時還附上一段免責聲明以及如何開啟終端機並將指令貼上的逐步指示。我們在分析過程中至少看到兩種不同的案例 (圖 5 至圖 7 )。
- 要求使用者貼上一段指令
該指令看起來無害:一道先經過 base64 -d 處理的 curl 指令。螢幕截圖當中經過編碼的二進位大型物件 (blob) 解碼之後會便成:
hxxps://loserrq0j1sha8[.]com/debug/loader.sh?build=a39427f9d5bfda11277f1a58c89b7c2d
當連上該網站時,另一個含有 base64 編碼資料的 zsh 腳本會被解開來執行。
解碼後的資料會先檢查 macOS 系統上是否已啟用俄羅斯鍵盤配置或輸入方式。如果已啟用,它會將「TRUE」寫入 IS_CIS,然後就不會繼續執行它的主要目標,也就是執行 MacSync 資訊竊取程式。
如果 IS_CIS 的值是「FALSE」,那麼載入器腳本就會下載 MacSync 資訊竊取程式來執行。此惡意程式會先蒐集瀏覽器的登入憑證和 Cookie、SSH 金鑰以及虛擬加密貨幣錢包檔案 ,然後將資料外傳至第二階段的主機。
我們至少觀察到 45 個非重複的共享對話 ID,其中流量最多的一個 (498818d9-1ddc-4fbb-9fa7-56dfb84840b0) 共有 55 筆已確認流量,分布在多個國家。
受害者地理分布
從這起攻擊行動的地理分布可看出它主要瞄準亞太地區,占所有已確認受害者流量的 67.4%。其中以台灣最多,高達 772 筆 (占所有流量的 30.5%),遠遠超過排行第二及第三的日本 (201) 和新加坡 (188)。如此高度集中的情況意味著,有可能駭客在廣告設定上偏重亞太地區,不然就是駭客的 AI 工具廣告吸引到更多該地區的使用者點選。
當第 5 波攻擊切換至 claude.ai 之後,受害者分布的地理範圍似乎變得更廣:新加坡攀升到第一,而印度、法國和義大利似乎也看到更多受害者。這或許反映出駭客有辦法一邊蒐集各波攻擊的成效數據,一邊微調其 Google Ads 的地理設定。
結論與資安建議
這起行動示範了惡意廣告手法正在不斷演進,尤其是看準了企業對 AI 的興趣以及 AI 的普及率越來越高而為此量身打造。駭客結合了付費的搜尋廣告、濫用受信任的代管基礎架構,並冒充了數個 AI 品牌,將觸角延伸至全球各地,同時還能在傳統資安控管機制的面前看起來一切正常。
駭客隨後更改用 claude.ai 的共享對話功能,將 AI 平台的功能當武器,使它變成一種全新且令人擔憂的社交工程攻擊管道。隨著 AI 工具在開發人員工作流程中變得無所不在,TrendAI™ Research 預料駭客將越來越常濫用使用者對 AI 平台的信任。
TrendAI™ Research 將持續監控這起攻擊行動,一有最新活動或攻擊手法出現就會發布最新消息。我們推薦您採取以下最佳實務原則來降低風險:
針對企業
- 教育開發人員有關 ClickFix 攻擊的資訊,尤其是 AI 工具的安裝流程。
- 監控網站瀏覽期間是否伴隨著非預期的 PowerShell 或終端機指令。
- 部署端點偵測來發掘惡意檔案雜湊碼與相關的行為指標。
針對一般使用者
- 務必直接前往官方的產品網站來下載軟體,而非點選搜尋結果上的廣告。
- 對於任何需要從網站複製和貼上指令的「安裝」程序都要特別小心,尤其是當指令中包含看起來像亂碼的字串時。
- 仔細查驗網址,即使是指向 *.gitlab.io 和 claude.ai 的連結也可能散播惡意內容。
- 使用正規的套件管理程式 (pip、npm、brew、apt) 來安裝開發人員工具,而不是遵照網站上的指示。
針對平台供應商
- GitLab:考慮針對疑似有網路釣魚/社交工程特徵的 Pages 網站進行額外審查或限制其速率。
- Anthropic (claude.ai):設置濫用防範措施來偵測含有終端機指令、下載指示,或是付費廣告 ClickFix 特徵的共享對話。
- Google Ads:針對將使用者帶往 *.gitlab.io 子網域或 AI 平台共享對話網址的廣告加強驗證要求。
TrendAI Vision One™ Threat Intelligence Hub
TrendAI Vision One™ Threat Intelligence Hub 威脅情資中心提供了有關新興威脅與駭客集團的最新洞見、TrendAI™ Research 的獨家戰略性報告,以及 TrendAI Vision One™ 平台的 TrendAI Vision One™ Threat Intelligence Feed 威脅情資來源。
新興威脅:ClickFix 惡意廣告攻擊行動搭上 AI 風潮:從 GitLab Pages 到 Claude.ai 濫用
TrendAI Vision One™ Intelligence Reports (IoC 掃描)
TrendAI Vision One™ XDR Data Explorer 應用程式
TrendAI Vision One™ 客戶可以使用 XDR Data Explorer 應用程式來尋找或追蹤本文提到的惡意指標,看看是否也出現在自己的環境中。
除此之外,TrendAI Vision One™ 還可啟用 Threat Intelligence Hub 權利來取得更多追蹤查詢。
入侵指標
入侵指標請參閱此處。