Har du nylig installert et KI-utviklerverktøy fra en lenke du fant via søk eller annonser? Kaspersky advarer nå om at angripere kopierer dokumentasjonssidene til Claude Code, OpenClaw og Doubao ned til minste detalj og erstatter installkommandoene med skadevare. Kampanjene ble identifisert i mars 2026.
Angrepene bruker en enkel, men effektiv metode: falske sider hostet på Squarespace ser identiske ut som originaldokumentasjonen. Når utviklere kopierer og kjører installkommandoene, får de i stedet infostealeren Amatera (Windows) eller AMOS (macOS). Begge stjeler data fra nettlesere, kryptolommebøker og brukerkataloger. Amatera opererer som Malware-as-a-Service.
«Hvis infiserte utviklere jobber i store organisasjoner, kan angriperne få tilgang til kildekode, bedriftshemmeligheter og autentiseringsdata» — Vladimir Gursky, sikkerhetsekspert i Kaspersky
For utviklere betyr dette: aldri kopier installkommandoer fra andre kilder enn offisielle prosjektsider. Verifiser alltid at URL-en peker til den ekte dokumentasjonen, spesielt for populære KI-verktøy der angriperne vet at mange søker.