Киберпреступники начали применять новую технику социальной инженерии InstallFix, которая является вариацией ранее известного приёма ClickFix. С её помощью пользователей убеждают самостоятельно запускать вредоносные команды под видом установки легитимных инструментов командной строки, например, Claude Code.
О новой схеме сообщили специалисты компании Push Security. По их данным, злоумышленники используют поддельные страницы установки популярных CLI-утилит и размещают на них вредоносные команды.
Атака построена на распространённой практике среди разработчиков. Многие инструменты устанавливаются через одну строку команды, которая скачивает и запускает скрипт напрямую из интернета. Такой метод часто называют «curl-to-bash», когда пользователь копирует команду из документации и выполняет её в терминале без дополнительной проверки.
Исследователи обнаружили, что злоумышленники создают копии официальных страниц установки CLI-инструментов. Эти страницы визуально полностью повторяют оригинальную документацию, но содержат изменённые команды установки.
В одном из примеров была обнаружена копия страницы установки инструмента Claude Code, разработанного компанией Anthropic. Поддельная страница воспроизводит структуру, дизайн и панель документации оригинального сайта.
Разница скрывается в инструкциях установки для macOS и Windows. Команды для PowerShell и командной строки загружают вредоносный код с сервера, контролируемого злоумышленниками. После выполнения таких команд на компьютере пользователя может быть установлен инфостилер.
Интересная особенность схемы заключается в том, что все остальные ссылки на странице ведут на настоящий сайт Anthropic. Пользователь может читать документацию, переходить по разделам и не подозревать, что начальная инструкция установки была поддельной.
Эксперты отмечают, что современная модель безопасности во многом основана на доверии к домену сайта. Пользователь видит знакомое название инструмента и страницу с привычным дизайном, поэтому не подозревает подвоха.
Распространяются такие страницы через рекламные кампании в поисковой системе Google. Злоумышленники размещают объявления в сервисе Google Ads, благодаря чему вредоносные ссылки появляются в верхней части результатов поиска по запросам вроде «Claude Code install» или «Claude Code CLI».
Журналисты издания BleepingComputer подтвердили, что такие сайты всё ещё продвигаются через рекламные результаты поиска. При проверке запроса «install claude code» первой ссылкой оказалась страница на платформе Squarespace с адресом claude-code-cmd.squarespace[.]com. Эта страница представляла собой практически точную копию официальной документации Claude Code.