「Claude mac download」を検索したユーザーは、*claude.ai*へのリンクに見えるスポンサー付き検索結果に遭遇する可能性がありますが、実際にはMacにマルウェアをインストールする指示に誘導されます。  ## macOSユーザーを標的とするClaude共有チャットの悪用 このキャンペーンは、Trendyol Groupのセキュリティエンジニアである**Berk Albayrak**氏によって発見され、LinkedInでその発見が共有されました。  Albayrak氏は、Claude.aiの共有チャットが「Apple Support」による「Claude Code on Mac」の公式インストールガイドとして提示されていることを特定しました。 このチャットは、ユーザーにTerminalを開き、マルウェアをサイレントにダウンロードしてMac上で実行するコマンドを貼り付けるよう指示します。 Albayrak氏の発見を検証しようとした際、BleepingComputerは、完全に別のインフラストラクチャを通じて同様の攻撃を実行している**2番目**のClaude共有チャットを発見しました。 この2つのチャットは、同一の構造とソーシャルエンジニアリングのアプローチに従っていますが、異なるドメインとpayloadを使用しています。執筆時点では、両方のチャットが公開されていました。  ## macOSマルウェアの機能 共有Claudeチャットに表示されるbase64エンコードされた指示は、以下のようなドメインからエンコードされたシェルスクリプトをダウンロードします。 * Albayrak氏が確認したバリアント [[VirusTotal](https://www.virustotal.com/gui/file/ed5ed79a674972d1506dd8d68e8e13658125267ade86bfcb1ab794e2b49e50ac/detection)]: hxxp://customroofingcontractors[.]com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e * BleepingComputerが確認したバリアント [[VirusTotal](https://www.virustotal.com/gui/file/a833ad989b68dad582a1b591b8cf63466e79c850ff72916cf5d4c4a7f6bc650e?nocache=1)]: hxxps://bernasibutuwqu2[.]com/debug/**loader.sh**?build=a39427f9d5bfda11277f1a58c89b7c2d 上記の2番目のリンクで提供される「loader.sh」は、さらにGunzipで圧縮されたシェル命令です。  この圧縮されたシェルスクリプトは完全にメモリ上で実行され、ディスク上にほとんど痕跡を残しません。 BleepingComputerが特定したバリアントは、まずマシンにロシア語またはCIS地域のキーボード入力ソースが設定されているかを確認します。もし設定されている場合、スクリプトは何も実行せずに終了し、攻撃者のサーバーに静かに *cis_blocked* ステータスを送信します。このチェックを通過したマシンのみが次のステージに進みます。  さらに、スクリプトは被害者の外部IPアドレス、ホスト名、OSバージョン、キーボードロケールを収集し、すべて攻撃者に送信します。payload配信前にこのような被害者プロファイリングを行うことは、オペレーターが標的を選んでいることを示唆しています。 その後、スクリプトはセカンドステージのpayloadをダウンロードし、macOSの組み込みスクリプトエンジンである*osascript*を通じて実行します。これにより、攻撃者は従来のアプリケーションやバイナリをドロップすることなく、リモートコード実行が可能になります。 しかし、Albayrak氏が特定したバリアントは、ユーザーフィンガープリンティングのステップをスキップしているようです。直接実行に進みます。 ブラウザの認証情報、Cookie、macOS Keychainの内容を収集し、それらをパッケージ化して攻撃者のサーバーに送信します。研究者たちは、これを**MacSync** macOS infostealerのバリアントとして特定しています。  *上記、Albayrak氏が特定したバリアントに表示されたbriskinternet[.]comドメインは、執筆時点でダウンしていたようです。* ## 正規のURLが脅威となる場合 マルバタイジングは、マルウェアの配信メカニズムとして繰り返し利用されています。 BleepingComputerは以前、**GIMP**のようなソフトウェアを検索するユーザーを標的とした同様のキャンペーンについて報告しており、説得力のあるGoogle広告が正規に見えるドメインをリストアップしていましたが、訪問者を偽のフィッシングサイトに誘導していました。 今回のキャンペーンはそれを覆し、偽のドメインを特定する必要がありません。 ここで見られるGoogle広告は両方とも、攻撃者がClaude自身の共有チャット機能内に悪意のある指示をホストしているため、**Anthropic**の正規ドメインである*claude.ai*を指しています。広告の宛先URLは正規です。 しかし、AIプラットフォームの共有チャットが悪用されたのはこれが初めてではありません。12月には、BleepingComputerが**ChatGPT**とGrokユーザーを標的とした同様のキャンペーンについて報告しました。 ネイティブClaudeアプリのダウンロードには、スポンサー付き検索結果をクリックするのではなく、直接claude.aiにアクセスすることをお勧めします。正規のClaude Code CLIは、Anthropicの公式ドキュメントを通じて利用可能であり、チャットインターフェースからコマンドを貼り付ける必要はありません。 指示がどこから来ているように見えても、Terminalコマンドの貼り付けを求める指示には常に注意を払うことが良い習慣です。 BleepingComputerは、公開前にAnthropicとGoogleにコメントを求めました。 ## Mythosが発見したものの99%はまだパッチが適用されていません。 AIは4つのゼロデイを1つのexploitに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスしました。新しいexploitの波が到来します。 Autonomous Validation Summit（5月12日および14日）で、自律的でコンテキストリッチな検証が、悪用可能なものを見つけ、コントロールが維持されていることを証明し、修正ループを閉じる方法をご覧ください。 参加登録はこちら