Любите «копипастить» команды? Техника «InstallFix» заставит вас пересмотреть свои привычки
Доверие к официальным ресурсам превратилась в идеальную ловушку.
Злоумышленники начали активно использовать поддельные страницы установки популярных инструментов для разработчиков. Новая схема социальной инженерии строится вокруг привычной практики копирования команд из официальных инструкций. Подмена всего одной строки в такой инструкции позволяет незаметно установить вредоносную программу вместо нужного инструмента.
Команда компании Push описала технику под названием «InstallFix». Схема основана на клонировании страниц установки известных CLI-инструментов. На первый взгляд такие сайты выглядят полностью идентично оригиналам: копируется дизайн, структура документации и фирменное оформление. Единственное отличие скрыто в установочной команде. Вместо загрузки скрипта с официального домена команда обращается к серверу злоумышленников и запускает вредоносный код.
В качестве примера специалисты разобрали кампанию, направленную на пользователей инструмента Claude Code от компании Anthropic. Claude Code представляет собой ассистента для программирования, работающего через командную строку. Сервис быстро набрал популярность среди разработчиков и начинающих пользователей. Установка выполняется стандартной однострочной командой, которую достаточно скопировать с сайта и вставить в терминал.
Злоумышленники создают почти точную копию страницы установки Claude Code и размещают её на домене, внешне похожем на официальный. После перехода пользователь видит знакомую инструкцию и копирует предложенную команду. Однако команда загружает скрипт с другого сервера. Вредоносный код запускает цепочку процессов: сначала активируется cmd.exe, затем вызывается mshta.exe, который загружает и выполняет удалённый скрипт. В системе также запускается conhost.exe для обработки командной строки.
Анализ показал совпадение с сигнатурами вредоносной программы Amatera Stealer. Такой инструмент крадёт сохранённые пароли браузеров, cookies, токены сессий и сведения о системе. Семейство Amatera появилось около 2025 года и считается развитием более старого ACR Stealer. Авторы распространяют программу по подписке среди киберпреступников. Для обхода защитных механизмов вредоносное ПО применяет прямые сетевые соединения NTSockets, динамическое разрешение API и многоступенчатую загрузку компонентов.
Поддельные страницы распространяются через рекламные объявления в поисковой системе Google. Ссылки появляются в блоке спонсируемых результатов по запросам вроде «Claude Code install» или «Claude Code CLI». Пользователь сам ищет программу, поэтому не возникает подозрений, связанных с фишинговыми письмами. Отображаемый адрес объявления выглядит правдоподобно, а поисковые системы часто скрывают поддомены, что облегчает маскировку.
Дополнительную скрытность обеспечивает размещение вредоносных страниц на легитимных платформах хостинга. В ходе расследования специалисты обнаружили использование сервисов Cloudflare Pages, Squarespace и Tencent EdgeOne. Такой подход позволяет вредоносному трафику смешиваться с обычной сетевой активностью.
По словам авторов исследования, подобные атаки уже затрагивали и другие проекты. Ранее злоумышленники распространяли вредоносные команды через поддельные страницы Homebrew, репозитории GitHub с фальшивыми установщиками OpenClaw и вредоносные пакеты npm, имитирующие официальный пакет Claude Code. Схема остаётся универсальной: любой популярный инструмент с простой установочной командой может стать приманкой.