网络攻击者正在使用一种名为InstallFix的新型社工攻击手法,该手法是ClickFix技术的变种,其以安装合法命令行工具(CLI)为借口,诱骗用户执行恶意指令。
这种新型攻击手段利用了当下开发者群体中的常见习惯:直接通过curl-to-bash这类命令从网络源下载并执行脚本,而未事先仔细检查内容。 研究人员发现,攻击者借助全新的InstallFix技术,克隆多款主流CLI工具的官方页面,并在页面中投放恶意安装命令。
当前安全模型“本质上仍停留在‘信任域名’阶段”,且越来越多非技术人员开始使用原本仅面向开发者的工具,这使得InstallFix可能演变为更大规模的安全威胁。
日前,Push Security披露了一个克隆自Anthropic旗下代码助手Claude Code的伪造安装页面。该页面在布局、品牌标识与文档侧边栏等方面,均与官方来源完全一致。
二者的区别仅在于macOS与Windows系统(PowerShell、命令提示符)下的安装指令,伪造指令会从攻击者控制的服务器端下载恶意程序。
合法页面(上)和恶意页面(下)
研究人员指出,除安装指令外,伪造页面上的其余链接均会跳转到Anthropic官方网站。受害者进入页面并按照伪造指令操作后,仍可正常继续后续流程,完全意识不到已遭遇攻击。
攻击者通过谷歌广告中的恶意广告活动推广这些伪造页面,使得在搜索“Claude Code安装”“Claude Code CLI”等关键词时,恶意广告会出现在搜索结果中。
经证实,此类恶意网站仍在通过谷歌搜索的推广链接进行投放。搜索“install claude code”时,第一条结果即为Squarespace域名(claude-code-cmd.squarespace[.]com),页面与Claude Code官方文档几乎完全一致。
谷歌搜索推送虚假的 Claude 安装网站
根据分析,InstallFix攻击所投递的载荷为Amatera窃密木马,该恶意软件旨在从受感染设备中窃取加密货币钱包、账号凭证等敏感数据。
针对macOS的恶意InstallFix命令中,包含经过Base64编码的指令,用于从攻击者控制的域名下载并执行二进制程序。其中一起案例中,攻击者使用的域名为wriconsult[.]com,目前该域名已下线。
针对Windows用户,恶意命令利用系统合法工具mshta.exe拉取恶意程序,并触发conhost.exe等额外进程,为最终载荷Amatera窃密木马的执行提供支撑。
克隆版 Claude 安装指南(含恶意命令)
Amatera是一款较新的恶意软件家族,基于ACR Stealer开发,以订阅式服务(MaaS,恶意软件即服务)的形式向网络犯罪分子出售。
该恶意软件近期还出现在其他ClickFix攻击活动中,攻击者滥用Windows App-V脚本实现载荷投递。它可窃取浏览器中存储的密码、Cookie与会话令牌,采集系统信息,同时规避安全工具检测。
此类攻击具有较强的隐蔽性,原因之一是恶意站点托管于Cloudflare Pages、Squarespace、EdgeOne等正规平台。
在近期的一次攻击活动中,攻击者同样使用InstallFix技术,伪造托管在GitHub仓库中的OpenClaw安装程序,并通过必应AI增强搜索结果进行推广。
用户如需安装Claude Code,务必从官方网站获取安装指令,屏蔽或跳过谷歌搜索中的所有推广结果,并将常用软件下载入口添加至书签。
参考及来源:https://www.bleepingcomputer.com/news/security/fake-claude-code-install-guides-push-infostealers-in-installfix-attacks/
热门跟贴