Panduan pemasangan Kode Claude palsu mendorong pencuri info dalam serangan InstallFix

Pelaku ancaman menggunakan variasi baru dari teknik rekayasa sosial ClickFix yang disebut InstallFix untuk meyakinkan pengguna agar menjalankan perintah berbahaya dengan dalih memasang alat antarmuka baris perintah (CLI) yang sah.

Trik baru ini mengeksploitasi praktik umum di kalangan pengembang saat ini, yaitu mengunduh dan mengeksekusi skrip melalui perintah ‘curl-to-bash’ dari sumber online tanpa memeriksa aset terlebih dahulu.

Peneliti di Dorong Keamanansebuah perusahaan pendeteksi dan respons ancaman browser, menemukan bahwa penyerang menggunakan teknik InstallFix baru dengan halaman kloning untuk alat CLI populer yang melayani perintah instalasi berbahaya.

Karena model keamanan saat ini “bermuara pada ‘mempercayai domain’,” dan semakin banyak pengguna non-teknis kini bekerja dengan alat yang sebelumnya disediakan untuk pengembang, InstallFix mungkin menjadi ancaman yang lebih besar, kata para peneliti.

Dalam laporan hari ini, Push Security menyoroti halaman instalasi kloning untuk Claude Code, asisten pengkodean CLI Anthropic, yang menampilkan tata letak, branding, dan sidebar dokumentasi yang sama dengan sumber yang sah.

Perbedaannya terletak pada petunjuk penginstalan untuk macOS dan Windows (PowerShell dan Command Prompt), yang mengirimkan malware dari titik akhir yang dikendalikan penyerang.

Para peneliti mengatakan bahwa selain petunjuk instalasi, semua link pada halaman palsu dialihkan ke situs Anthropic yang sah.

“Jadi korban yang membuka halaman tersebut dan mengikuti instruksi palsu dapat melanjutkan secara normal tanpa menyadari ada yang tidak beres,” Dorong Catatan Keamanan dalam laporan.

Penyerang mempromosikan laman ini melalui kampanye maliklan di Google Ads, menyebabkan iklan berbahaya muncul di hasil penelusuran untuk kueri seperti “Claude Code install” dan “Claude Code CLI.”

BleepingComputer dapat mengonfirmasi bahwa situs web jahat masih dipromosikan melalui hasil pencarian yang disponsori Google. Saat mencari kueri “instal kode claude”, hasil pertama adalah URL Squarespace (claude-code-cmd.squarespace[.]com) menunjuk ke tiruan sempurna dari dokumentasi resmi Kode Claude.

Infeksi Amatera

Berdasarkan analisis Push Security, muatan yang dikirimkan melalui serangan InstallFix ini adalah Amatera Stealer, sebuah malware yang dirancang untuk mencuri data sensitif (dompet mata uang kripto, kredensial) dari sistem yang disusupi.

Perintah InstallFix yang berbahaya untuk macOS berisi instruksi berkode base64 untuk mengunduh dan mengeksekusi biner dari domain yang dikendalikan oleh penyerang. Dalam satu kasus, BleepingComputer menemukan bahwa pelaku ancaman menggunakan domain tersebut konsultasi tertulis[.]com, yang saat ini sedang turun.

Untuk pengguna Windows, perintah jahat menggunakan utilitas sah ‘mshta.exe’ untuk mengambil malware dan memicu proses tambahan seperti ‘conhost.exe’ untuk mendukung eksekusi muatan terakhir, pencuri informasi Amatera.

Amatera adalah keluarga malware yang cukup baru, diyakini didasarkan pada ACR Stealer, dijual sebagai layanan berlangganan (MaaS) kepada penjahat dunia maya.

Malware tersebut baru-baru ini diamati didistribusikan dalam serangan ClickFix terpisah skrip Windows App-V yang disalahgunakan untuk pengiriman muatan. Itu dapat mencuri kata sandi, cookie, dan token sesi yang disimpan di browser web dan mengumpulkan informasi sistem sambil menghindari deteksi oleh alat keamanan.

Push Security melaporkan bahwa serangan tersebut sangat mengelak, juga karena situs jahat dihosting di platform sah seperti Cloudflare Pages, Squarespace, dan Tencent EdgeOne.

Para peneliti juga menerbitkan video yang menunjukkan cara kerja serangan InstallFix, mulai dari permintaan pencarian hingga menyalin perintah berbahaya.

Dalam kampanye minggu lalu, pelaku ancaman menggunakan teknik InstallFix penginstal OpenClaw palsu dihosting di repositori GitHub yang dipromosikan oleh hasil pencarian Bing yang disempurnakan dengan AI.

Pengguna yang mencari Kode Claude harus memastikan bahwa mereka mendapatkan petunjuk pemasangan dari situs web resmi, memblokir atau melewatkan semua hasil Pencarian Google yang dipromosikan, dan menandai portal pengunduhan perangkat lunak untuk alat yang perlu sering mereka unduh ulang.

Para peneliti memberikan indikator kompromi yang mencakup domain untuk melayani panduan kloning, untuk menampung muatan berbahaya, dan perintah InstallFix.