Фальшивые страницы установки Claude Code распространяют вредоносное ПО — что нужно знать вашей команде

Угроза: идеальные подделки, нацеленные на разработчиков

Разработчик ищет «Claude Code install», кликает на первый результат в Google и следует инструкциям по установке. Всё выглядит правильно — макет, брендинг, даже боковая панель документации. Только вот команда установки указывает на сервер злоумышленника, и разработчик только что установил инфостилер вместо помощника для написания кода.

Это суть кампании InstallFix — нового метода распространения вредоносного ПО, задокументированного Push Security, который эксплуатирует простую реальность: разработчики каждый день копируют команды установки с официально выглядящих страниц, и практически никто не проверяет полный URL внутри команды.

Почему это важно для бизнеса

Машины разработчиков — высокоценные цели. На них хранятся SSH-ключи, API-токены, облачные учётные данные, доступы к базам данных, и зачастую они имеют повышенные привилегии в внутренних системах. Одна скомпрометированная рабочая станция разработчика может дать злоумышленникам точку входа в продакшн-инфраструктуру, CI/CD-пайплайны и данные клиентов.

Техника InstallFix особенно опасна тем, что не требует эксплойта, уязвимости или загрузки файла в традиционном понимании. Жертва добровольно выполняет команду, полагая, что она легитимна. Это обходит большинство средств защиты конечных точек, которые отслеживают подозрительные загрузки или неподписанные исполняемые файлы.

Честный взгляд: традиционная модель безопасности для CLI-инструментов сводится к «доверяй домену». Как отмечает Push Security, эта модель полностью ломается, когда злоумышленники могут разместить убедительные клоны в верхних позициях результатов поиска через платную рекламу.

Как работает атака InstallFix

Шаг 1: Вредоносная реклама через Google Ads

Фальшивые страницы Claude Code распространяются исключительно через спонсируемые результаты поиска в Google. Запросы вроде «Claude Code install» или «Claude Code CLI» выводят вредоносные страницы выше или рядом с легитимными результатами. По данным Push Security, четыре из пяти ClickFix-приманок теперь распространяются через поисковые системы.

Шаг 2: Почти идентичные страницы-клоны

Клонированные страницы — практически попиксельные копии официальной страницы установки Claude Code. Тот же макет, тот же брендинг, та же боковая панель документации. Единственное различие скрыто внутри команд установки для macOS (shell) и Windows (PowerShell/Command Prompt) — они указывают на контролируемый злоумышленником эндпоинт вместо claude.ai.

Все остальные ссылки на поддельной странице перенаправляют на легитимный сайт Anthropic. Как сообщает BleepingComputer, «жертва, попавшая на страницу и следующая поддельным инструкциям, могла бы продолжить работу, не осознав, что что-то пошло не так».

Шаг 3: Выполнение вредоносного ПО

На Windows вредоносная команда запускает mshta.exe для загрузки и выполнения удалённого HTA-файла, содержащего встроенные вредоносные скрипты. Согласно Cyber Security News, полезная нагрузка выполняется полностью в памяти — на диск не попадает ни одного отдельного файла, что значительно затрудняет криминалистическое восстановление.

Шаг 4: Перенаправление на настоящий сайт

После выполнения вредоносной команды жертвы перенаправляются на легитимную страницу Claude Code. Это полностью снимает подозрения — разработчик считает, что установка прошла успешно, и продолжает работу, не подозревая, что вредоносное ПО уже запущено на его машине.

Полезная нагрузка: инфостилер Amatera

Конечная полезная нагрузка — Amatera Stealer, относительно новое семейство вредоносного ПО, которое Proofpoint идентифицирует как ребрендированную и улучшенную версию ACR Stealer. Оно работает по модели «вредоносное ПО как услуга» (Malware-as-a-Service, MaaS) и продаётся киберпреступникам по подписке.

Что крадёт Amatera:

• Пароли, сохранённые в веб-браузерах
• Куки и токены сессий (которые позволяют обойти MFA)
• Данные криптокошельков
• Информацию о системе и установленном программном обеспечении
• Любые файлы, соответствующие настраиваемым шаблонам поиска

Реальные цифры: Amatera взаимодействует с серверами управления и контроля, используя жёстко прописанные IP-адреса легитимных CDN-сервисов, что затрудняет обнаружение на сетевом уровне. Согласно анализу Blackpoint Cyber, вредоносное ПО выполняет сокетные операции через низкоуровневые системные вызовы Windows (NtDeviceIoControl), обходя стандартные сетевые библиотеки, которые обычно мониторят EDR-инструменты.

Проще говоря: Amatera с нуля спроектирована для уклонения от обнаружения — она обходит стандартные API Windows, за которыми следят средства безопасности, общается с серверами, которые выглядят как легитимный CDN-трафик, и выполняет свои основные функции в памяти.

Это часть более широкой тенденции

Клон Claude Code — не изолированный инцидент. Push Security задокументировала более широкую тенденцию атак на инструменты разработчиков:

• Фальшивые страницы установки Homebrew, доставляющие инфостилер Cuckoo пользователям macOS, с использованием того же подхода «скопируйте эту команду установки»
• Троянизированные npm-пакеты, имитирующие официальное название npm-пакета Claude Code, нацеленные на разработчиков, которые допускают опечатку или доверяют неофициальному источнику
• Фальшивые установщики OpenClaw на GitHub, продвигаемые через AI-поиск Bing, доставляющие инфостилеры и прокси-вредоносное ПО GhostSocks
• Фальшивые артефакты Claude на самом домене claude.ai (пользовательский контент, наследующий доверие к домену), продвигаемые через угнанные Google Ads и просмотренные более 15 000 раз до удаления

Общая нить: злоумышленники следуют за разработчиками к инструментам, которые те используют ежедневно, и эксплуатируют доверие, встроенное в рабочие процессы установки.

Что это значит для вашего проекта

Для отдельных разработчиков

1. Никогда не копируйте команды установки из результатов поисковой рекламы. Переходите напрямую на официальную документацию, вводя URL вручную или используя закладку
2. Проверяйте URL внутри каждой команды установки перед её выполнением. Вредоносные команды выглядят идентично, за исключением домена, с которого они загружают данные
3. Относитесь с подозрением к перенаправлениям. Если страница отправляет вас на настоящий сайт после выполнения команды, это не подтверждает, что исходная страница была легитимной

Для инженерных команд

1. Блокируйте спонсируемые результаты поиска через расширения браузера или фильтрацию на уровне DNS, где это возможно
2. Ограничьте выполнение PowerShell и mshta.exe на машинах разработчиков через групповые политики. Как рекомендует Blackpoint Cyber, ограничьте доступ к диалогу «Выполнить» в Windows и удалите компоненты App-V там, где они не требуются
3. Включите всестороннее логирование PowerShell и мониторьте подозрительные цепочки процессов, такие как explorer.exe → wscript.exe → powershell.exe
4. Используйте EDR-инструменты, которые обнаруживают аномалии на основе поведения, а не только сигнатурные угрозы. Amatera специально обходит стандартные API-хуки, на которые полагаются многие инструменты
5. Обеспечьте разделение учётных данных в браузерах — запретите синхронизацию паролей между личными и корпоративными профилями браузера. Украденные куки сессий из браузера разработчика могут полностью обойти MFA

Если машина уже скомпрометирована

Согласно руководству по реагированию от Hadrian, реагирование должно проходить в следующем порядке:

1. Немедленно отзовите все сессии и токены — не только пароли, но и активные сессии
2. Проведите расследование злоупотреблений — проверьте, использовал ли злоумышленник украденные учётные данные для доступа к внутренним системам или установления постоянного присутствия
3. Очистите или переустановите образ устройства — не восстанавливайте из недавних резервных копий, если не уверены, что они чисты
4. Сбросьте все пароли и проведите повторную регистрацию MFA на проверенном чистом устройстве

Ключевой вывод для бизнеса: скорость решает. Инфостилеры извлекают данные за считанные минуты. Каждый час между компрометацией и реагированием — это час, в течение которого злоумышленник может использовать украденные учётные данные.

Вот что мы рекомендуем

Для команд любого размера три изменения значительно снижают риски:

1. Добавьте в закладки страницы установки ваших инструментов. Пятисекундная привычка полностью устраняет основной вектор атаки. Никогда не доверяйте результатам поиска для команд установки — даже первому органическому результату, и тем более рекламе.

2. Относитесь к командам установки как к код-ревью. Прежде чем выполнять любую команду с веб-страницы, проверьте домен, к которому она подключается. Быстрый curl -v или чтение URL в команде занимает секунды и обнаружил бы каждый вариант этой кампании.

3. Исходите из предположения взлома при краже сессий. Если любая машина разработчика скомпрометирована, аннулируйте каждый токен сессии и API-ключ, к которым эта машина имела доступ. Одного сброса паролей недостаточно, когда у злоумышленников есть куки сессий — эти куки обходят MFA.

Честный взгляд: эта атака успешна не из-за технической сложности, а из-за доверия к рабочему процессу. Разработчики выполняют команды установки десятки раз в неделю. Решение — не новый инструмент, а изменение привычки. Проверяйте источник, читайте команду и никогда не доверяйте поисковой рекламе для установки программного обеспечения.

Часто задаваемые вопросы

Как я могу убедиться, что команда установки взята из официального источника Claude Code, а не с вредоносного клона?

Проверьте URL вручную: официальные инструкции по установке Claude Code размещены в документации на anthropic.com или claude.ai, а команда npm install ссылается на официальный пакет @anthropic-ai/claude-code. Если команда установки указывает на любой другой домен — особенно .pages.dev, случайный поддомен или незнакомый сервер — не выполняйте её. Всегда переходите на официальный сайт напрямую, а не через результаты поиска.

Какие конкретные системные данные собирает инфостилер Amatera помимо паролей и куки?

Согласно анализу Proofpoint, Amatera использует настраиваемые шаблоны поиска файлов в glob-синтаксисе для обнаружения и извлечения данных из браузеров, криптокошельков и другого программного обеспечения. Она также собирает системную информацию и может загружать и выполнять вторичные полезные нагрузки, что означает, что первоначальное заражение может привести к установке дополнительного вредоносного ПО.

Почему злоумышленники используют легитимные CDN-сервисы, такие как Cloudflare Pages и Squarespace, для размещения вредоносного контента?

Легитимные хостинг-платформы предоставляют доверенные SSL-сертификаты, высокую доступность и репутацию доменов, которая проходит большинство фильтров безопасности. Страница, размещённая на Cloudflare Pages (.pages.dev) или Squarespace, выглядит нормально как для пользователей, так и для автоматизированных средств безопасности, что значительно затрудняет обнаружение или блокировку без проверки фактического содержимого.

Могу ли я всё равно быть заражён, если меня перенаправили на настоящий сайт Claude Code после посещения поддельной страницы установки?

Да. Перенаправление происходит после того, как вредоносная команда уже была выполнена. Перенаправление на легитимный сайт — это намеренное проектное решение: оно снимает подозрения, чтобы жертва не стала разбираться дальше. Если вы выполнили команду установки до перенаправления, вредоносное ПО уже активно на вашей машине.

Как проверка URL в команде помогает не стать жертвой этих поддельных руководств по установке?

Вредоносные команды установки идентичны легитимным, за исключением URL сервера, к которому они подключаются. Вместо загрузки с claude.ai или официального npm-реестра они обращаются к доменам, контролируемым злоумышленниками. Чтение полной команды перед выполнением — а именно домена или IP-адреса, к которому она подключается — является самым эффективным способом обнаружить подмену.