GhidraやdnSpyなどの人気オープンソースツールを装った偽サイトを利用し、マルウェアを配布するキャンペーンが確認された。攻撃者は検索流入を狙い、正規サイトそっくりのページへ利用者を誘導してマルウェアをダウンロードさせている。 攻撃の中核には「Traffic Distribution System（TDS）」と呼ばれるトラフィック制御基盤が存在する。ユーザーがダウンロードボタンを押すと、バックグラウンドスクリプトがクリックを横取りし、正規のダウンロード先ではなく攻撃者が管理する経路へ誘導する。 さらに、初回アクセスかどうか、クリックの有無、VPNやデータセンター経由かどうかなどを判定する厳格なフィルタリング機能を備えており、研究者や自動解析ツールには無害なページしか表示されないよう設計されている。 配布されるペイロードは状況によって異なり、広告サイトへの誘導や不要なブラウザ拡張機能の導入のほか、「SessionGate」「RemusStealer」「暗号資産クリッパー」の3種類のマルウェアが確認されている。特にRemusStealerはブラウザに保存された認証情報、Cookie、デジタルID情報を窃取し、暗号資産ウォレットやパスワードマネージャー関連の拡張機能も標的とする。 securityonline.info/maliciou…

research.checkpoint.com/2026… Among the payloads distributed through this TDS infrastructure, we identified several malware families: SessionGate — A previously unknown multi-stage loader with heavy obfuscation and extensive anti-analysis mechanisms, which makes obtaining the final payload extremely difficult. In the chains we observed, it was used to deliver potentially unwanted applications (PUA). We examine SessionGate more deeply later on this article. RemusStealer — a newly emerged infostealer designed to steal data from more than 20 browsers and targeting hundreds of browser extensions and applications, including cryptocurrency wallets, two-factor authentication tools, and password managers. AnimateClipper — A cryptocurrency clipper capable of hijacking transactions across more than 20 blockchain ecosystems.

SEO汚染案件。OSS偽サイトがGoogle上位に出てくる件、TDS経由でRemus Stealer/AnimateClipper/SessionGateを配布している。ツール名でそのままGoogle検索する開発者の日常動作が攻撃対象になっている点が厄介。 thehackernews.com/2026/06/fa… #セキュリティ

セキュリティ研究者向けツールを装った偽サイトを使い、マルウェアを配布する大規模な攻撃キャンペーンが確認された。見た目は本物そっくりで、GitHubへの正規リンクまで表示されるため、専門家でも見分けるのが難しいという。 Check Point Researchによると、攻撃者はGhidra、dnSpy、SpiderFootなど人気のセキュリティツールを模倣した100以上の偽サイトを運営している。利用者がダウンロードボタンをクリックすると、裏側でTDS（Traffic Distribution System）が動作し、地域やブラウザ、VPN利用状況などを判定したうえでマルウェア配布先へ密かに誘導する。 配布されるマルウェアには、ブラウザ情報や暗号資産ウォレットを窃取する「RemusStealer」、クリップボード上のウォレットアドレスを書き換える「AnimateClipper」、高度な難読化機能を備えたローダー「SessionGate」が含まれる。 このキャンペーンは少なくとも2025年末から活動しており、関連サンプルはVirusTotalで5,000件以上確認されている。特にSessionGateは解析妨害機能が強力で、復号鍵を被害者ごとに一度しか配布しない仕組みを採用しているため、調査が非常に困難だという。 研究者らは、ソフトウェアは必ず公式サイトや正規リポジトリから入手し、ダウンロード後のハッシュ検証を行うよう呼びかけている。 cybersecuritynews.com/hacker…

GhidraやdnSpyといったマルウェア解析ツールの公式サイトになりすました偽サイト群が、人手による解析もAIを使った解析エージェントも妨げうる難読化を備えた未知のローダー「SessionGate」などを配布しているとの報告。その難読化は、命令が一列に並ぶはずのコード領域へ、暗号化したデータの塊を命令のように見せかけて挟み込む手口。逆アセンブラはその無意味なバイト列まで命令として読み進め、関数の切れ目を見失う。ジャンク命令で関数は500KBを超えて膨らみ、解析ツールIDAの逆コンパイルが止まることも。 また、マルウェア本体の復号鍵は検体の中になく、指令サーバー（C2）が被害者ごとに一度だけ渡す仕組み。そのため、後から検体だけを入手しても最終段にはたどり着けず、解析側も、感染時の通信を最初から最後まで捉えられたときに限って本体の復号に成功したとのこと。 意図した経路や被害者以外からの取得では、一見正しそうで実際には無効な鍵が返り、復号はエラーにならないまま無意味なデータにしかならない。実際、ローダーは数千件がVirusTotalに登録されている一方、最終的な本体はそこでは見つかっていない。 【要点の整理】 ・ダウンロードボタンのリンク先は本物のGitHubのままで、マウスを乗せてURLを確かめても罠だと気づけない。だが実際に押すと、最初のクリックだけがCloudFront（Amazonの配信網）上のスクリプトに横取りされ、トラフィック振り分け基盤（TDS）へ回される。こうした偽サイトは確認されているだけで100以上が稼働し、同じIPアドレスから再び開くとOperaなど無害なソフトが返されるなど、再現や解析を妨げる作り ・同じTDSの先では、情報窃取型の「RemusStealer」も配られる。これはサービスとして売買される新興のマルウェア（MaaS）で、暗号資産ウォレットやパスワード管理ツールなど332種のブラウザ拡張機能を標的にする。検体は圧縮時で約14MBだが、展開すると無意味な0が詰め込まれて約850MBまで膨らみ、ファイルサイズに上限を設けた自動解析をすり抜ける狙い ・暗号資産を狙う「AnimateClipper」は、偽の確認画面で利用者にコマンドを実行させるClickFixという手口で送り込まれる。指令サーバーの所在をブロックチェーン上のプログラム（スマートコントラクト）に問い合わせて入手し、利用者がコピーした送金先アドレスを攻撃者のものへ書き換える 偽ドメイン群の存在自体は、2025年11月にFullstory（Web行動分析の企業）が報告した時点では悪用までは確認されていなかった。その後12月までにTDSが組み込まれ、2026年1月以降に配布が観測されるようになったとされる。検索上位に並ぶことも、作り込まれた見た目も、本物のGitHubリンクも、安全の裏付けにはならない。収益化のために用意された配信網が、そのまま下流のマルウェア配布にも転用されている点が、今回の調査で示された。 詳細は以下を参照： research.checkpoint.com/2026…

A new campaign impersonates open-source tools to distribute malware targeting wallets, passwords, and 2FA keys. • SessionGate (multi-stage obfuscated loader that delivers unwanted apps while evading sandbox detection) • Remus Stealer (MaaS info stealer, grabbing data from 20 browsers, crypto wallets, extensions and pw managers, variant of Lumma Stealer) • AnimateClipper (clipboard hijacker that substitutes wallet addresses and redirects crypto transactions across 20 blockchains, delivered via ClickFix lure)

🚨 Fake software portals weaponize the first click Check Point found 100 impersonation sites using CloudFront-hosted TDS scripts to redirect downloads toward #RemusStealer, #AnimateClipper and #SessionGate. 🔗 read more: research.checkpoint.com/2026… #ransomNews #cybersecurity

🚨 Fake sites mimicking Ghidra, dnSpy, and SpiderFoot are ranking in Google searches to deliver malware. They show real download URLs on hover, but clicks route users through a gated TDS to Remus Stealer, AnimateClipper, and SessionGate. Learn more: thehackernews.com/2026/06/fa…

Check Point Research found a large-scale impersonation and click-hijacking operation using a gated Traffic Distribution System to funnel users to malware like SessionGate, RemusStealer, and AnimateClipper, with per-user, per-session keys and obfuscated p… research.checkpoint.com/2026…

Check Point Research exposes large-scale TDS campaign impersonating security tools like Ghidra and dnSpy, distributing SessionGate framework, RemusStealer, and AnimateClipper through sophisticated click hijacking. Key technical details: • CloudFront-hosted JavaScript converts legitimate download clicks into TDS redirects using event interception (preventDefault/stopImmediatePropagation) • SessionGate uses per-client payload generation with one-time server-side key release, making analysis extremely difficult • RemusStealer targets 332 browser extensions (wallets, password managers, 2FA) with C2 at buccstanor[.]pics:28313 and baxe[.]pics:48261 • AnimateClipper resolves C2 via BNB Smart Chain contract queries to kr.hugo-lapp[.]co Attack methodology: • High-ranking impersonation sites (ghidralite[.]com, dnspy[.]org, ilspy[.]org) capture search traffic for legitimate tools • Click events trigger gated TDS routing with anti-bot logic, VPN filtering, and frequency capping • Multi-stage delivery chains use 7-Zip SFX containers with decoy content to evade detection • SessionGate employs AES-CBC encryption with server-derived keys, heavy obfuscation breaking disassemblers DFIR artifacts: • TDS scripts follow pattern: https://d33f51dyacx7bd.cloudfront[.]net/?aydfd=<ID> • SessionGate PDB path: D:\code\cpp-downloader-scb-reg-other\Plugins\7ZipDownloader\Output\SFXWin.pdb • User-Agent: "NSIS_InetLoad (Mozilla)" for C2 communications #DFIR_Radar

Lookalike Ghidra, dnSpy, and other download sites turned trusted clicks into TDS redirects. CPR found click hijacking, gated routing, and multiple malware families downstream — including an evasive, previously undocumented framework we call SessionGate. research.checkpoint.com/2026……

@altryne "game over" is a bit dramatic when they're literally offering a credit to cover the difference. The actual story: Anthropic was being exploited for free API access via Max Plan arbitrage. They're closing that gap. That's not a ban, that's billing enforcement. Calling it #SessionGate doesn't make it a scandal.

Looks like @AnthropicAI is going to give EVERYONE who suffered #SessionGate a $200 credit for "extra usage", not just OpenClaw users

Claude Pro/Max users burning through sessions in hours? Anthropic’s official response to SessionGate: → Don’t use Opus (the one you paid for) → Don’t use 1M context (even though it’s default) → Never resume large sessions after 1hr “You’re holding it wrong.”

Uh Oh... @AnthropicAI official response to everyone burning through their sessions in SessionGate is.. You're holding it wrong? Come on! Their recommendation is to: > Don't use Opus if you're on Pro > Don't use 1M context (they cost more despite anthropic setting them as default!?) > Do not resume large sessions after 1hr (not acknowledging the potential cache busting bug?) > Claim that no-one was overcharged. > No quotas reset (unlike Codex folks) I'm sure that this won't go well with the thousands of folks who experience significant decrease in the ability to use their Pro/Max plans and are cancelling in favor of other solutions. I don't want to dunk on Lydia, she's one of the few folks from Anth who actually acknowledged the community, please don't take this out on her, but continue voting with your wallets and sending them very quick sessions that eat most of your quota with /feedback people!

Out of everything we covered on @thursdai_pod today (Claude Code leak, SessionGate, @googlegemma 4, 1bit quantization) this was the most insane. Please read this research from Anthropic, they are leading the world in Mech Interp (aka, LLM brain surgery) and this is just fascinating! They were able to "prove" that the LLMs have emotions, or at least, the characters that the LLMs play, have emotions. They were able to distill them, and clamp or hyper those emotions up, to show difference in outcomes. For example the way the model feels frustration while doing an impossible coding task, and then feels "relief" when it's finally done (though cheated through it) is just fascinating.

pre IPO sessiongate tweets

honestly the best part of running everything local is I just don't have to think about it anymore.... SessionGate happens, Claude goes down, whatever. My hermes agents just keep running on the 3090s doing their thing. Had them generate 3 episodes of an audiobook overnight with Chatterbox while I slept. Woke up to finished files and zero billing surprises. The mass dependency on one API provider is gonna bite people way harder than they think

#SessionGate 😂😂 I love it. And the response isnt that good unfortunately .

First official response from @AnthropicAI to the sessionGate thing (where-in folks on pro/max plan are hitting quota much faster than before) Over 500 folks commented earlier this week to my thread saying this happened to them. Are you guys satisfied with this response?