«Alt ser normalt ut. Appen installeres, starter og fungerer som forventet, mens en skjult sideloading-kjede kjører i bakgrunnen.» Slik beskriver Malwarebytes en ny kampanje som utnytter Claudes popularitet til å distribuere skadevare. Det falske nettstedet tilbyr en «Pro»-versjon av Claude som ZIP-fil.
Installasjonen plasserer den ekte Claude-appen i forgrunnen. I bakgrunnen kopierer et VBScript tre filer til Windows' Startup-mappe: en legitimt signert G DATA-oppdaterer (NOVUpdate.exe), en ondsinnet DLL (avk.dll) og en kryptert datafil. Teknikken kalles DLL-sideloading (MITRE T1574.002), der det signerte vertsprogrammet laster den ondsinnede DLL-en fordi den ligger i samme mappe. VBScriptet sletter seg selv etterpå.
«22 sekunder etter oppstart hadde NOVUpdate.exe etablert sin første utgående TCP-tilkobling til kommando- og kontrollserveren på 8.217.190.58» — Malwarebytes
PlugX er en fjerntilgangs-trojaner dokumentert i spionasjeoperasjoner siden 2008. Lab52 dokumenterte den samme G DATA-sideloading-triaden i februar 2026. For utviklere: last kun ned Claude fra claude.com/download, og sjekk Startup-mappen for NOVUpdate.exe hvis du er usikker.