Az InstallFix új trükkje: hamis Claude Code-útmutatókkal terjeszt adatlopókat

Az utóbbi időben egyre több fejlesztő használja a jól ismert curl-to-bash parancsokat, hogy parancssori eszközöket telepítsen különböző weboldalakról – anélkül, hogy alaposan ellenőrizné a letöltött kódot. Ezt a szokást használják ki csalók, akik most egy új, InstallFix névre keresztelt módszerrel bukkannak fel. A támadók népszerű parancssori eszközök – például a Claude Code – teljesen élethű, klónozott telepítési oldalait hozzák létre, amelyek minden dizájnelemet és a dokumentáció oldalsávját hűen másolják. Bár az oldal összes linkje a hivatalos Anthropic weboldalra mutat, a telepítési utasítások egy kártékony, a támadó által irányított szerverre vezetnek.

Trükkös reklámkampányok és rejtett támadások

Nem sokkal később újabb csavar következik: a csalók malvertising-kampányokat indítanak a Google Ads felületén, így a keresési találatokban olyan hirdetéseket helyeznek el, amelyek tökéletesen egybevágnak az eredeti Claude Code dokumentációval. Az első találatként megjelenő Squarespace-link egy az egyben a hivatalos oldal másolata. Az óvatlan felhasználók könnyen bedőlhetnek ezeknek az oldalaknak, és minden gyanú nélkül futtathatják a veszélyes parancsokat, amelyek valójában adatlopó programot telepítenek.

Amatera: új generációs adatlopó kártevő

Az InstallFix-átverések során az Amatera Stealer nevű kártevő kerül a rendszerre, amely főként kriptotárcákat és bejelentkezési adatokat gyűjt. macOS esetén a telepítési parancs Base64-be kódolt utasításokat tartalmaz, amelyek bináris fájlt töltenek le a támadó szerveréről. Windows rendszeren az mshta.exe segédprogrammal húzzák be a végső káros modult, és ehhez több háttérfolyamat is aktiválódik. Az Amatera az újabb kártevőcsaládok közé tartozik, alapvetően az ACR Stealerre épül, és szolgáltatásként, előfizetéses modellben vásárolható meg a támadók számára. A program képes jelszavakat, cookie-kat és munkamenet-tokeneket ellopni, miközben ügyesen kijátssza a legtöbb biztonsági szoftvert.

Álcázott kártevők és a védekezés módja

A támadók oldalai rendszerint jól ismert platformokra kerülnek fel, mint például a Cloudflare Pages, a Squarespace vagy a Tencent EdgeOne, így még nehezebb felismerni a veszélyt. Egy friss példában már GitHub-tárolók és a Bing kereső MI-alapú találatai is rosszindulatú InstallFix-hivatkozásokat mutatnak. Ha a Claude Code-ot vagy bármely népszerű fejlesztői eszközt keresel, mindig az eredeti oldalról töltsd le, kerüld a reklámozott Google-találatokat, és mentsd el a megbízható telepítési portálok címét.

2025, adrienne, www.bleepingcomputer.com alapján