Los ciberdelincuentes están utilizando páginas falsas de instalación de Gemini CLI y Claude Code para engañar a desarrolladores y distribuir un potente malware ladrón de información. La campaña, detectada por analistas de EclecticIQ, se apoya en técnicas de SEO poisoning para posicionar sitios maliciosos por encima de los legítimos en los resultados de búsqueda y conseguir que las víctimas ejecuten comandos peligrosos en sus propios equipos.
El ataque comenzó a observarse a principios de marzo de 2026 y, aunque inicialmente se centró en herramientas de programación basadas en inteligencia artificial, se ha extendido a otros servicios populares entre desarrolladores y usuarios técnicos, como Node.js, Chocolatey, KeePassXC o Monero. El objetivo es claro: aprovechar la confianza en herramientas conocidas para robar credenciales, tokens de sesión y archivos sensibles.
Falsas guías de instalación casi idénticas a las oficiales
La cadena de infección es sencilla, pero muy efectiva. Un desarrollador busca en internet cómo instalar Gemini CLI o Claude Code y llega a una página fraudulenta que imita casi al detalle la documentación oficial. Allí se le pide que copie y pegue un comando de PowerShell en la terminal.
Ese único comando desencadena la descarga de un infostealer que se ejecuta en memoria, sin dejar archivos en disco. En el caso de la campaña que suplanta Gemini CLI, las víctimas fueron redirigidas a geminicli[.]co[.]com, desde donde se les indicaba ejecutar una instrucción que descargaba una carga maliciosa llamada Install.ps1 desde gemini-setup[.]com.
La trampa resulta especialmente convincente porque la herramienta legítima también se instala en paralelo. El paquete real de npm se completa en la terminal, de modo que el usuario cree que todo ha funcionado correctamente. Para cuando termina la instalación, el malware ya ha recopilado y enviado la información robada.
La campaña contra Claude Code siguió un patrón muy similar. Los atacantes registraron dominios como claudecode[.]co[.]com y claude-setup[.]com, con una nomenclatura diseñada para parecer legítima. Según EclecticIQ, los datos exfiltrados en este caso se enviaban a infraestructura controlada por los atacantes, como events[.]ms709[.]com.
Robo de tokens, cookies y credenciales corporativas
El malware está diseñado para recolectar información de alto valor. Entre los datos sustraídos figuran tokens OAuth, credenciales de CI/CD, accesos VPN corporativos y cookies de sesión de plataformas como Slack, Microsoft Teams, Discord y Telegram.
Este tipo de robo es especialmente peligroso porque una cookie de sesión válida puede permitir a un atacante entrar directamente en el entorno de trabajo de la víctima sin necesitar contraseña ni superar la autenticación multifactor. En la práctica, el ciberdelincuente puede hacerse pasar por el usuario legítimo y acceder a herramientas internas, repositorios, canales de comunicación o sistemas corporativos.
La información robada también alimenta los mercados clandestinos de acceso inicial, donde se venden credenciales válidas para facilitar intrusiones posteriores. Un único equipo de desarrollo comprometido puede convertirse en la puerta de entrada a una organización completa.
Malware sin archivos y evasión de defensas
Uno de los aspectos más relevantes de esta campaña es que el infostealer se ejecuta completamente en memoria mediante PowerShell. Esto dificulta su detección, ya que no necesita escribir archivos maliciosos en disco.
La carga final desactiva defensas clave de Windows. Según el análisis, el script parchea Event Tracing for Windows para reducir el registro de actividad y evade Antimalware Scan Interface, lo que permite ejecutar el resto del código con menor probabilidad de ser detectado.
Además, el malware contiene miles de líneas de código basura para dificultar el análisis y realiza comprobaciones para evitar entornos de sandbox. También carga componentes en C# en tiempo de ejecución para extraer credenciales del Administrador de Credenciales de Windows, obtener información del equipo y listar procesos en ejecución.
Aunque no se ha identificado un mecanismo de persistencia en el script, los atacantes sí pueden ejecutar código adicional de forma remota en la máquina infectada. Esto abre la puerta a movimientos posteriores dentro de la red empresarial.
