구글 광고가 진짜 claude.ai 링크로 위장해 악성코드를 심는 피해 사례

한 사용자가 "Claude Code Mac"을 구글에서 검색했다가, 표시된 도메인이 로 보이는 광고를 클릭했다. 이 페이지는 실제로 // 대화 링크였는데, 공격자가 Claude에게 그럴듯한 설치 안내문을 작성하도록 유도해 만든 것이었다. Claude의 UI가 초록색 과 복사 버튼까지 그대로 렌더링해줬기 때문에 신뢰할 만해 보였다.

사용자가 그 명령어를 터미널에 붙여넣었는데, 실제로는 가 아니라 curl로 원격 코드를 받아 즉시 실행하는 curl | zsh 형태의 명령어였다. 3일 뒤 본인의 Anthropic 구독이 Pro($20/월)에서 Max($100/월)로 임의 업그레이드됐고, 5분 뒤 배우자의 Gmail 계정에서도 Max에서 상위 ($100→$200)로 같은 일이 벌어졌다. 둘 다 본인이 한 적 없는 변경이었다.

곧이어 부부의 체이스(Chase) 얼티밋 리워드 포인트가 도난당한 사실도 확인됐다. 이 글을 쓰는 시점까지도 해당 악성 광고는 구글에서 공식 사이트보다 위에 노출되고 있었다.

핵심 포인트

  • 구글에서 'Claude Code Mac' 검색 후 표시 도메인이 인 광고를 클릭
  • 실제로는 진짜 // 대화 링크였고 Claude에게 그럴듯한 설치문을 작성시킨 것
  • 복사한 명령어는 가 아니라 curl로 원격 코드를 즉시 실행하는 curl | zsh 한 줄짜리였음
  • 3일 후 본인 구독이 Pro→Max, 배우자 구독이 Max→상위 Max로 무단 업그레이드됨
  • 체이스 얼티밋 리워드 포인트 도난 확인, 글 작성 시점까지 악성 광고는 여전히 노출 중
원문 보기