Добавить в корзинуПозвонить
Найти в Дзене
Мастерская Кода

Сегодня полдня разбирал неприятный случай

Искал установку Claude Code на macOS, открыл инструкцию, увидел знакомый домен claude.ai, скопировал команду в терминал — и только после запуска понял, что был невнимателен. Команда была обфусцирована через base64 и запускалась через curl | zsh. Меня остановило окно запроса пароля. Пароль я не ввёл, перезагрузил Mac и начал разбирать логи. В итоге это оказался ClickFix + MacSync Stealer: вредоносный сценарий для macOS, нацеленный на браузеры, cookies, Telegram, Keychain, SSH, AWS, Kubernetes и секреты разработчика. Судя по коду и логам, основной сбор данных был завязан на ввод пароля. Пароль я не ввёл, /tmp/osalogging.zip не появился, признаков выгрузки и закрепления в системе не нашёл. Паранойя в разработке — это полезный навык) Детально описал в статье: https://toprogram.ru/posts/macsync-claude-code

Сегодня полдня разбирал неприятный случай.

Искал установку Claude Code на macOS, открыл инструкцию, увидел знакомый домен claude.ai, скопировал команду в терминал — и только после запуска понял, что был невнимателен.

Команда была обфусцирована через base64 и запускалась через curl | zsh.

Меня остановило окно запроса пароля. Пароль я не ввёл, перезагрузил Mac и начал разбирать логи.

В итоге это оказался ClickFix + MacSync Stealer: вредоносный сценарий для macOS, нацеленный на браузеры, cookies, Telegram, Keychain, SSH, AWS, Kubernetes и секреты разработчика.

Судя по коду и логам, основной сбор данных был завязан на ввод пароля. Пароль я не ввёл, /tmp/osalogging.zip не появился, признаков выгрузки и закрепления в системе не нашёл.

Паранойя в разработке — это полезный навык)

Детально описал в статье:

https://toprogram.ru/posts/macsync-claude-code