随着 AI 辅助编程快速普及，Gemini CLI 与 Claude Code 等开发工具近期热度持续攀升，而黑客也开始借此针对开发者发动新一轮攻击。

　　黑客注册了多个与官方页面高度相似的钓鱼网站，当开发者访问这些网站后，页面会引导用户并执行一段 PowerShell 安装命令。表面上看，这些命令是在安装 Gemini CLI 或 Claude Code，但实际上会先下载并执行木马。事实上，为了降低用户警觉性，相应脚本还会在后台同时安装真正的 Gemini CLI 或 Claude Code，让受害者误以为软件安装一切正常。

　　具体来看，相应木马会收集受害者设备上的浏览器 Cookie、登录凭据、Local State 数据、数字钱包内容等，同时其还具备远程执行命令能力，意味着黑客后续能够进一步控制受害者设备。

　　针对这类攻击，EclecticIQ 提醒开发者务必仔细核查软件下载