Потребителите на AI инструменти за програмиране трябва да бъдат особено внимателни, когато копират команди за инсталация от интернет. Нова измама имитира официалния сайт на Claude Code и подмамва жертвите да инсталират инфостийлър malware чрез фалшиви инструкции. Схемата използва техника, известна като InstallFix, при която самият потребител е убеден да стартира злонамерена команда на своето устройство.
Фалшив интерфейс на Claude Code се използва за InstallFix атаки
Изследователи от Push Security са открили внимателно копирани версии на Claude Code, командния AI инструмент за програмиране на Anthropic, които изглеждат почти напълно идентични с оригиналния сайт. Фалшивите страници възпроизвеждат оформлението, брандинга, текста, страничната лента с документация и дори използват домейн, който наподобява истинския.
Още по-притеснителното е, че всеки линк в страницата води към легитимния сайт на Claude Code. Единственият злонамерен елемент е едноредовата команда за инсталация на Claude Code за macOS, Windows PowerShell и Windows CMD. Ако потребителят я копира и постави в терминала, вместо реален софтуер се изтегля malware.
InstallFix е разновидност на ClickFix, социално-инженерна тактика, която използва фалшиви съобщения за грешки, CAPTCHA проверки и командни прозорци, за да убеди потребителите сами да инсталират зловреден код. Подобна кампания наскоро е използвала и фалшиви инсталатори на OpenClaw.
Схемата атакува Windows и macOS
Настоящата кампания, насочена срещу Claude Code, засяга както Windows, така и Mac потребители чрез инфостийлър, познат като Amatera. Този malware може да събира данни от браузъра, включително запазени пароли, бисквитки, сесийни токени, информация за autofill, както и данни за крипто портфейли и други потребителски идентификационни данни.
Освен това зловредният софтуер може да извлича и системна информация. Според изследователите нападателите могат допълнително да затруднят откриването на измамата, като хостват вредните сайтове върху легитимни платформи като CloudFlare Pages и Squarespace.
Как да се предпазите от InstallFix атаки
Push Security е установила, че тези фалшиви страници за инсталация се разпространяват чрез malvertising, по-конкретно чрез спонсорирани резултати в Google при търсения като „Claude Code“, „Claude Code install“ или „Claude Code CLI“. Именно затова е важно да се подхожда с повишено внимание при търсене на инструменти за програмиране или инструкции за инсталация.
Не трябва да се изпълняват команди, копирани от имейли, форуми, социални мрежи, чат съобщения или уебсайтове, ако произходът им не е независимо проверен.
Добра практика е спонсорираните резултати в Google да бъдат избягвани или скривани, за да не се кликне по невнимание върху злонамерена реклама. Полезно решение е и запазването на отметки към доверени източници, които се използват често, така че да не се разчита всеки път на търсачка.
Накрая, URL адресите и командите трябва да се преглеждат внимателно. Киберпрестъпниците често използват визуални трикове, за да направят фалшивите адреси да изглеждат легитимни на пръв поглед, но при по-внимателна проверка се вижда, че сайтът не е истинският Claude Code. Допълнителна мярка за сигурност е командите да се изписват ръчно, но само когато са взети от надежден и проверен източник, за да се избегне изпълнение на скрит злонамерен текст.
