Los piratas informáticos utilizan el envenenamiento de SEO para hacerse pasar por los instaladores de Gemini CLI y Claude Code
Resumen Informativo
De acuerdo a la publicación titulada Los piratas informáticos utilizan el envenenamiento de SEO para hacerse pasar por los instaladores de Gemini CLI y Claude Code, difundida en fecha 26/05/2026 11:16, por el medio Cybersecuritynews (Autor: Tushar Subhra Dutta):
Los piratas informáticos se dirigen a desarrolladores de software creando páginas de instalación falsas para dos populares herramientas de codificación de IA, Gemini CLI y Claude Code. Los atacantes están utilizando una técnica llamada envenenamiento de SEO para posicionar sus sitios web maliciosos por encima de los legítimos en los resultados de búsqueda, engañando a los desarrolladores para que ejecuten comandos peligrosos en sus propias máquinas.
Esa acción despliega silenciosamente un potente ladrón de información capaz de robar credenciales, tokens de sesión y archivos confidenciales. Los datos robados incluyen tokens OAuth, credenciales CI/CD, detalles de VPN corporativa y cookies de sesión de plataformas como Slack, Microsoft Teams, Discord y Telegram. Los piratas informáticos utilizan el envenenamiento de SEO La cadena de infección es simple pero efectiva. Un desarrollador busca cómo instalar Gemini CLI o Claude Code y el resultado superior se parece casi exactamente a la página oficial.
Hacer cumplir el modo de lenguaje restringido de PowerShell, usar claves FIDO para cuentas privilegiadas e implementar tokens OAuth de corta duración puede limitar significativamente el daño si se roban las credenciales. indicadores de compromiso (IoC): – TypeIndicatorDescriptionDomaingeminicli[.]co[.]comPágina de instalación falsa de Gemini CLIDomaingemini-setup[.]comHospeda payload del descargador de infostealer (Install.ps1)Domainclaudecode[.]co[.]comPágina de instalación falsa de Claude CodeDomainclaude-setup[.]comHospeda payload de robo de información de Claude CodeDomainevents[.]msft23[.]comServidor C2 para la campaña Gemini CLIDomainevents[.]ms709[.]comServidor C2 para la campaña Claude CodeDomainapi[.]bio9438[.]comInfraestructura controlada por el atacanteDomainclaudecode-install[.]co[.]comDominio controlado por el atacanteDomainopenclow[.]co[.]comDominio controlado por el atacanteDomaingeninicli[.]co[.]comDominio de typosquatting controlado por el atacanteDomainkeepassxc[.]us[.]orgDominio falso de suplantación de KeePassXCDomainclaude-code[.]co[.]comDominio controlado por el atacanteDomainchocolatey[.]netDominio de suplantación de ChocolateyDomainchocolatey-setup[.]co[.]comPágina falsa de instalación de ChocolateyDomainget-monero[.]co[.]ukDominio falso de suplantación de MoneroDomaingetmonero[.]us[.]comDominio falso de suplantación de MoneroDomainmetrics[.]msft17[.]comInfraestructura controlada por atacanteDomainclaude-setup[.]comDominio de prueba de payloadDomainkeepassxc[.]us[.]comDominio falso de KeePassXCDomainlive3451[.]comDominio controlado por atacanteDomainchocolatey-download[.]co[.]comDominio falso de descarga de ChocolateyDomainchocolatey[.]co[.]comDominio de suplantación de ChocolateyDirección IP109.107.170[.]111Hosting en Países Bajos (MIRhosting)SHA-256ff81cb9263fcde5870a0748fd6af2d30a4ba864415c15ca14827d0dd723eb60c payload de infostealerSHA-2569c87e8162b39fbb773c416006b16f8e34aca53372d1b2d4a584df0ffc69ad333 payload de infostealerSHA-25689d634c8471382ff9c6fd966008ad5c376d7a0edae8f799eb569837170f2373d payload de infostealerSHA-256be2ff065a232a3a6f187f9fb03a6c1b368dff3d2ba0966777b1f5503aa5ecd16 payload de infostealerSHA-256a1c5e1d9bdc1a931c11ac6fdfdff1fbc69ff88521cf443cb174f9720a05fe72d payload de infostealerSHA-256bb78f024c4d8b5a6a128aacb498acad025a234a6b25fde36ff2e14601134555f payload de infostealerSHA-256a6525b37b0cc5339df375e17a0c10772b50c9d425001b0c3a9dada995c7f62dd payload de infostealerSHA-256b37ee243518221017bab0eb4b54b5431571cc21e54113698ce49a89b89993754 payload de infostealerSHA-256aa350580ae5ea46544ffa15c324ab4225dff0dcc5842ac5ca8e2dc4018e5ffad payload de infostealerSHA-25665e1a542bb7d995cc4aa6c71191da125f14f99ca03da7266f5b071440d6d229a payload de infostealerSHA-25664d2a9a49e27d89f1b3489d7db29c3a3a12b4b090f59c24b694c239cb55db262 payload de infostealerSHA-2562d7a94e4a0fedcf31cdd43b06222add9d1888fecb2c5488afc658d08c3f40116 hash de payload de infostealerNombre de archivoInstall.ps1 script de PowerShell para descargar el infostealer de primera etapa Nota: Las direcciones IP y los dominios se han desactivado intencionalmente (p. La publicación Los piratas informáticos utilizan envenenamiento de SEO para hacerse pasar por instaladores de Gemini CLI y Claude Code apareció por primera vez en Cyber Security News.
| Fuente: | Cybersecuritynews |
| Título original: | Los piratas informáticos utilizan el envenenamiento de SEO para hacerse pasar por los instaladores de Gemini CLI y Claude Code |
| Publicado: | 26/05/2026 11:16 |
| Enlace: | https://cybersecuritynews.com/hackers-use-seo-poisoning-to-impersonate-gemini-cli |
| Consultado: | 26/05/2026 |
