Claude „Artifacts” nadużywane do dystrybucji macOS infostealerów w ataku ClickFix

Wprowadzenie do problemu / definicja luki

Atakujący zaczęli wykorzystywać publicznie udostępniane „Artifacts” w Claude (Anthropic) jako element łańcucha infekcji w kampaniach ClickFix, kierując ofiary (macOS) do uruchomienia poleceń w Terminalu. To nie jest „luka” typu CVE w samym Claude, tylko nadużycie funkcji publikowania treści i wysokiej wiarygodności, jaką użytkownicy przypisują materiałom „wyglądającym na wygenerowane przez AI / poradnik”.

W skrócie

• Kampania jest promowana m.in. przez reklamy Google i pozycjonowanie pod konkretne zapytania (np. narzędzia sieciowe lub macOS CLI).
• Użytkownik trafia na publiczny Artifact Claude lub stronę podszywającą się pod Apple Support (np. artykuł na platformie blogowej), gdzie dostaje instrukcję wklejenia komendy do Terminala.
• Wykonanie polecenia pobiera i uruchamia loader, który finalnie instaluje infostealera (w opisywanym przypadku: MacSync).
• Skala: badacze raportują dziesiątki tysięcy wyświetleń złośliwych instrukcji (wskaźnik ekspozycji, niekoniecznie liczba skutecznych infekcji).

Kontekst / historia / powiązania

ClickFix to technika socjotechniczna, w której kluczowym „bypassem” jest wciągnięcie użytkownika w wykonanie komendy samodzielnie (np. Run/PowerShell na Windows albo Terminal na macOS). Z perspektywy obrony to istotne, bo część kontroli bezpieczeństwa widzi aktywność jako inicjowaną przez użytkownika, a nie klasyczny dropper.

W 2025–2026 obserwowano rozwój ClickFix w różnych wariantach: od prostych fałszywych CAPTCHA po bardziej wyrafinowane łańcuchy, np. z użyciem zaufanych komponentów systemu (LotL) na Windows.
Jednocześnie ekosystem macOS infostealerów rośnie — popularne rodziny (Atomic/AMOS, Poseidon, Cthulhu) są często dystrybuowane przez malvertising i „trojanizowane instalatory”, co dobrze pasuje do mechaniki ClickFix (reklama → landing → instrukcja → uruchomienie).

Analiza techniczna / szczegóły ataku

1) Wejście: reklamy i SEO pod „techniczne” zapytania

Badacze opisali scenariusz, w którym użytkownik szuka narzędzi lub porad dla macOS (np. resolver DNS, analizator miejsca na dysku, Homebrew), a w wynikach pojawia się promowany link prowadzący do:

• publicznego Artifact Claude, albo
• strony udającej wsparcie Apple.

2) Rdzeń ClickFix: komenda „naprawcza”

W obu wariantach użytkownik jest zachęcany do uruchomienia w Terminalu polecenia, którego efekt jest typowy dla downloaderów:

• dekodowanie zakodowanej treści i wykonanie w powłoce (np. schemat „base64 → shell”), lub
• pobranie treści przez narzędzie sieciowe i bezpośrednie przekazanie do interpretera (np. „curl → shell”).

Nie przytaczam pełnych komend 1:1, bo są to instrukcje wykonawcze dla złośliwego łańcucha — ale ważne jest, iż oba wzorce są klasycznymi „red flagami” w środowiskach macOS/Unix.

3) Payload: MacSync infostealer i AppleScript jako „silnik kradzieży”

Po uruchomieniu, łańcuch pobiera loader dla MacSync. Według opisu kampanii:

• komunikacja z C2 ma być realizowana z użyciem osadzonych tokenów/kluczy oraz z podszywaniem się user-agentem przeglądarki,
• a adekwatne kradzieże danych mają być realizowane przez osascript (AppleScript), obejmując m.in. keychain, dane przeglądarek i portfele krypto,
• dane są pakowane do archiwum w /tmp/…zip, a następnie wysyłane do C2 metodą HTTP POST, z mechanizmem retry i „sprzątaniem” po udanej eksfiltracji.

4) Wspólna infrastruktura

Badacze wskazują, iż oba warianty pobierają drugi etap z tego samego adresu C2, co sugeruje jednego operatora/kampanię (lub przynajmniej współdzieloną infrastrukturę).

Praktyczne konsekwencje / ryzyko

1. Ryzyko kradzieży tożsamości i przejęć kont – infostealery celują w hasła/cookies/sesje przeglądarkowe, dane w pęku kluczy, komunikatory i portfele.
2. Ryzyko wtórnej eskalacji – skradzione sesje (SSO/VPN), tokeny i klucze API często stają się wejściem do sieci firmowej lub chmury. (To wprost wynika z typowych następstw incydentów infostealerowych; sama kampania opisuje komponent C2 i eksfiltrację danych).
3. Nowy „wektor wiarygodności” – publiczne treści hostowane na rozpoznawalnej domenie usługi AI mogą wyglądać „bezpieczniej” niż przypadkowy landing, a jednocześnie zawierają gotowe instrukcje do samodzielnego uruchomienia.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i helpdesku (macOS)

• Zasada zero-trustu dla komend: nie uruchamiaj w Terminalu poleceń z reklamy/wyników wyszukiwania/poradnika, jeżeli nie rozumiesz dokładnie każdego fragmentu (zwłaszcza wzorców „pobierz i wykonaj”, „base64 → shell”).
• Weryfikuj źródło narzędzi: Homebrew i narzędzia systemowe pobieraj z oficjalnych stron/projektów, nie z „poradników” z reklam.
• W razie podejrzenia wykonania komendy: odłącz urządzenie od sieci, zabezpiecz logi (Unified Logs), sprawdź nietypowe procesy/uruchomienia osascript, przeanalizuj ruch wychodzący i rozważ reset tokenów/sesji oraz zmianę haseł na czystym urządzeniu.

Dla SOC/Blue Team

• Detekcja zachowań: reguły/alerty na nietypowe uruchomienia osascript w kontekście pobierania treści z sieci i dostępu do artefaktów przeglądarek/keychain.
• Kontrola egress: monitorowanie POST/egress do świeżych domen, korelacja z procesami powłoki i osascript.
• Higiena reklam i wyszukiwania: w środowiskach firmowych ogranicz/filtruj malvertising, rozważ polityki przeglądarkowe i DNS security. (To spójne z obserwacją, iż kampania startuje z wyników Google i reklam).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• ClickFix na Windows vs macOS: na Windows coraz częściej pojawiają się warianty „living-off-the-land”, gdzie wykonanie jest proxy’owane przez zaufany komponent (np. skrypty/komponenty Microsoft), aby ominąć proste detekcje „PowerShell.exe”. Na macOS nacisk bywa kładziony na shell + AppleScript (osascript) jako warstwę kradzieży.
• Rola malvertising: Unit 42 zwraca uwagę, iż macOS infostealery są często dystrybuowane przez reklamy i fałszywe instalatory — tutaj malvertising jest połączony z „poradnikiem” w Artifact, co zwiększa perswazyjność.
• „Hosted trust”: to kolejny przykład, iż atakujący testują różne platformy (AI, blogi, serwisy udostępniania treści) jako „nośniki” instrukcji ClickFix, bo łatwo skalują zasięg i utrudniają blokowanie.

Podsumowanie / najważniejsze wnioski

• To kampania ClickFix, w której „payloadem” jest instrukcja — a nie exploit: użytkownik sam uruchamia łańcuch w Terminalu.
• „Claude Artifacts” działają tu jako wiarygodnie wyglądający hosting treści (publiczny link na domenie usługi AI), wzmacniany przez reklamy i SEO.
• Na macOS w centrum technicznym stoi kombinacja shell → pobranie loadera → osascript do kradzieży danych i eksfiltracji do C2.
• Obrona powinna łączyć edukację (nie uruchamiaj niezweryfikowanych komend), kontrolę reklam/wyszukiwania oraz detekcję zachowań osascript/shell + egress.

Źródła / bibliografia

1. BleepingComputer — opis kampanii: Claude Artifacts + Google Ads → ClickFix → MacSync infostealer (13 lutego 2026). (BleepingComputer)
2. Microsoft Security Blog — analiza techniki ClickFix i jej łańcucha ataku (21 sierpnia 2025). (Microsoft)
3. Unit 42 (Palo Alto Networks) — przegląd rosnącego zagrożenia macOS infostealerami i typowych TTP (4 lutego 2025). (Unit 42)
4. InfoQ — kontekst funkcji Claude Artifacts i ich roli jako przestrzeni do udostępniania/organizacji „wytworów” AI (30 czerwca 2025). (InfoQ)
5. The Hacker News — przykład ewolucji ClickFix (fałszywe CAPTCHA + zaufane komponenty Windows/App-V) (27 stycznia 2026). (The Hacker News)