LLMShare: хакеры прячут вирусы в чатах ChatGPT и Claude

Атака, которую не видит антивирус

Представьте: вы ищете в Google приложение ChatGPT для десктопа, кликаете на верхний результат с рекламной пометкой — и попадаете на страницу с адресом chatgpt.com. Всё выглядит легитимно. Антивирус молчит. Браузер не предупреждает. А на экране — сообщение о перегрузке серверов и предложение скачать приложение. Именно так работает кампания LLMShare, которую исследователи из Push Security задокументировали в конце мая 2026 года.

Это не очередной фишинг на поддельном домене. Это атака нового поколения, где вредоносный контент живёт прямо на платформах OpenAI и Anthropic — и именно поэтому она настолько опасна.

Как это работает технически

Оба сервиса — ChatGPT и Claude — позволяют пользователям создавать публичные ссылки на свои чаты. Функция задумывалась для удобного шеринга интересных диалогов. Злоумышленники нашли ей другое применение.

В случае с ChatGPT атакующие пошли дальше простого текста: они воспользовались возможностью рендеринга HTML-кода прямо внутри чата. Результат — полноценная фейковая страница с сообщением «We're experiencing high traffic right now. Our website is temporarily unavailable due to a large number of users. Download our desktop app to continue», которая отображается по адресу chatgpt.com/s/... Никакого постороннего домена. Встроенная кнопка загрузки ведёт на openew[.]app — клон страницы загрузки OpenAI с вредоносными инсталляторами для macOS и Windows.

Особая деталь: сайт openew[.]app использует клоакинг. Когда его посещают сканеры безопасности вроде URLScan, они видят безобидный сайт AR/VR-компании. Настоящий payload показывается только живым пользователям. Тестирование Windows-версии в песочнице Any.Run показало, что установщик первым делом проверяет — реальная ли это машина или виртуальная среда.

Claude под ударом: Apple Support, которого не существует

С Claude история началась чуть раньше. Ещё в мае 2026 года исследователь безопасности Берк Альбайрак из Trendyol Group зафиксировал кампанию, где злоумышленники покупали рекламу в Google по запросу «Claude mac download». Объявление вело на настоящий адрес claude.ai — публично расшаренный чат, оформленный как официальное руководство по установке Claude Code с пометкой «Apple Support».

Пользователю предлагалось открыть Terminal и вставить команду — якобы для установки приложения. На деле команда загружала shell-скрипт с base64-кодированием, который работал полностью в памяти, не оставляя следов на диске. Каждому жертве сервер отдавал уникально обфусцированную версию пейлоада — это полиморфная доставка, которая делает сигнатурное обнаружение практически бессмысленным.

Одна из версий вредоноса перед запуском проверяла языковые настройки системы: если обнаруживались русская или CIS-раскладка клавиатуры, скрипт завершал работу и отправлял на сервер статус cis_blocked. Это классический признак русскоязычной хакерской группы, избегающей работать «по своим».

Идентифицированный вредонос относится к семейству MacSync — инфостилер, который собирает учётные данные браузеров, cookies, содержимое macOS Keychain и данные криптовалютных кошельков.

Почему это принципиально новая угроза

Все предыдущие фишинговые кампании строились на одном принципе: заставить пользователя не заметить поддельный домен. Здесь домена-обманки нет вообще. Claude.ai и chatgpt.com входят в белые списки практически всех корпоративных фильтров и систем репутации URL. Доверие к платформе становится оружием против её же пользователей.

По данным Push Security, аналогичные техники применялись и раньше: Kaspersky фиксировал кампании с использованием расшаренных чатов ChatGPT для распространения AMOS (Atomic macOS Stealer), а в декабре 2025 года аналогичные атаки проводились через Grok. LLMShare — не изолированный инцидент, а сформировавшийся вектор атак.

Push Security называет технику «InstallFix» — разновидность хорошо известного ClickFix, адаптированную под AI-платформы. Расчёт точный: AI-инструменты приучили миллионы пользователей доверять командам в терминале, которые «предлагает ИИ». Разница между легитимной установкой через CLI и вредоносной командой визуально неразличима для неподготовленного человека.

Что это значит для безопасности бизнеса

Для корпоративных служб безопасности ситуация неприятная: традиционные инструменты защиты здесь практически бесполезны. Блокировать claude.ai и chatgpt.com — значит отрезать сотрудников от инструментов, которые уже стали частью рабочего процесса. Не блокировать — значит оставить открытым канал доставки малвари.

На момент публикации отчёта Push Security кампания оставалась активной, а часть вредоносных чатов была всё ещё доступна публично. Ни OpenAI, ни Anthropic не выпустили официальных заявлений о принятых мерах.

Практические советы

Для обычных пользователей правило простое: никогда не вставляйте команды в терминал, полученные из любого источника, кроме официальной документации разработчика. Неважно, как выглядит страница и на каком домене она находится.

При поиске ПО избегайте кликать на рекламные результаты — переходите напрямую на официальный сайт, набирая адрес вручную. Легитимный Claude Code устанавливается исключительно через официальную документацию Anthropic, а не через инструкции в чате.

Для российских пользователей отдельная ремарка: факт, что вредонос намеренно не срабатывает на русскоязычных системах, не означает безопасности. Это лишь говорит о географии одной конкретной группы. Другие кампании такой избирательности не проявляют.

Информация подтверждена несколькими независимыми публикациями от исследователей Push Security, BleepingComputer, Kaspersky и других изданий, отслеживающих угрозы в реальном времени.