【安全资讯】新型InstallFix攻击：虚假Claude Code安装指南推送信息窃取程序

概要：

网络安全研究人员发现了一种名为“InstallFix”的新型社会工程攻击手法，该手法通过克隆流行命令行工具（如Anthropic的Claude Code）的官方安装页面，诱骗用户执行恶意命令。攻击者利用谷歌广告推广这些虚假页面，当用户搜索“Claude Code install”等关键词时，恶意广告会出现在搜索结果顶部。这种攻击利用了开发者习惯从网络直接执行“curl-to-bash”命令的常见做法，以及当前安全模型过度依赖“信任域名”的弱点，对日益增多的非技术用户构成了显著威胁。

主要内容：

Push Security的研究人员详细披露了此次攻击。攻击者创建了与Claude Code官方文档页面布局、品牌标识完全一致的克隆网站，唯一区别在于其提供的macOS和Windows安装指令。这些指令会从攻击者控制的端点下载并执行恶意软件。

攻击的核心载荷是Amatera窃密程序，这是一种基于ACR Stealer的较新恶意软件家族，以恶意软件即服务（MaaS）形式出售。该恶意软件能够窃取加密货币钱包、凭证、浏览器密码、Cookie和会话令牌等敏感信息，并收集系统信息，同时具备逃避安全工具检测的能力。

此次攻击的隐蔽性极强。一方面，恶意网站托管在Cloudflare Pages、Squarespace和Tencent EdgeOne等合法平台上；另一方面，虚假页面上的所有链接均会跳转至真实的Anthropic官网，使得受害者在执行恶意命令后仍可能毫无察觉地继续正常操作。

安全专家建议，用户在安装Claude Code等工具时，务必从官方网站获取安装指南，应屏蔽或跳过所有谷歌推广搜索结果，并为常用软件下载门户添加书签。研究人员已提供包括克隆网站域名、恶意载荷托管域名以及InstallFix命令在内的入侵指标（IOCs）。