网络攻击者正在使用一种名为 InstallFix 的新型社工攻击手法,该手法是 ClickFix 技术的变种,其以安装合法命令行工具(CLI)为借口,诱骗用户执行恶意指令。
这种新型攻击手段利用了当下开发者群体中的常见习惯:直接通过 curl-to-bash 这类命令从网络源下载并执行脚本,而未事先仔细检查内容。 研究人员发现,攻击者借助全新的 InstallFix 技术,克隆多款主流 CLI 工具的官方页面,并在页面中投放恶意安装命令。
当前安全模型 " 本质上仍停留在‘信任域名’阶段 ",且越来越多非技术人员开始使用原本仅面向开发者的工具,这使得 InstallFix 可能演变为更大规模的安全威胁。
日前,Push Security 披露了一个克隆自 Anthropic 旗下代码助手 Claude Code 的伪造安装页面。该页面在布局、品牌标识与文档侧边栏等方面,均与官方来源完全一致。
二者的区别仅在于 macOS 与 Windows 系统(PowerShell、命令提示符)下的安装指令,伪造指令会从攻击者控制的服务器端下载恶意程序。
研究人员指出,除安装指令外,伪造页面上的其余链接均会跳转到 Anthropic 官方网站。受害者进入页面并按照伪造指令操作后,仍可正常继续后续流程,完全意识不到已遭遇攻击。
攻击者通过谷歌广告中的恶意广告活动推广这些伪造页面,使得在搜索 "Claude Code 安装 ""Claude Code CLI" 等关键词时,恶意广告会出现在搜索结果中。
经证实,此类恶意网站仍在通过谷歌搜索的推广链接进行投放。搜索 "install claude code" 时,第一条结果即为 Squarespace 域名(claude-code-cmd.squarespace [ . ] com),页面与 Claude Code 官方文档几乎完全一致。
部署 Amatera 信息窃取木马
根据分析,InstallFix 攻击所投递的载荷为 Amatera 窃密木马,该恶意软件旨在从受感染设备中窃取加密货币钱包、账号凭证等敏感数据。
针对 macOS 的恶意 InstallFix 命令中,包含经过 Base64 编码的指令,用于从攻击者控制的域名下载并执行二进制程序。其中一起案例中,攻击者使用的域名为 wriconsult [ . ] com,目前该域名已下线。
针对 Windows 用户,恶意命令利用系统合法工具 mshta.exe 拉取恶意程序,并触发 conhost.exe 等额外进程,为最终载荷 Amatera 窃密木马的执行提供支撑。
Amatera 是一款较新的恶意软件家族,基于 ACR Stealer 开发,以订阅式服务(MaaS,恶意软件即服务)的形式向网络犯罪分子出售。
该恶意软件近期还出现在其他 ClickFix 攻击活动中,攻击者滥用 Windows App-V 脚本实现载荷投递。它可窃取浏览器中存储的密码、Cookie 与会话令牌,采集系统信息,同时规避安全工具检测。
此类攻击具有较强的隐蔽性,原因之一是恶意站点托管于 Cloudflare Pages、Squarespace、EdgeOne 等正规平台。
在近期的一次攻击活动中,攻击者同样使用 InstallFix 技术,伪造托管在 GitHub 仓库中的 OpenClaw 安装程序,并通过必应 AI 增强搜索结果进行推广。
用户如需安装 Claude Code,务必从官方网站获取安装指令,屏蔽或跳过谷歌搜索中的所有推广结果,并将常用软件下载入口添加至书签。
