Злоумышленники клонировали страницу установки Claude Code и продвигают подделки через рекламу в Google. По данным Push Security, обнаружено 17 фальшивых доменов, раздающих инфостилер Amatera Stealer вместо CLI-инструмента Anthropic. Отчёт опубликован 6 марта 2026 года. BleepingComputer подтвердил, что вредоносные объявления по-прежнему показываются в поисковой выдаче.
Push Security назвала технику InstallFix. Она отличается от обычного ClickFix (социальная инженерия через поддельные CAPTCHA или ошибки) тем, что не требует придуманного предлога. Пользователь сам хочет установить ПО и сам копирует команду. По словам Jacques Louw, сооснователя и CPO Push Security, четыре из пяти перехваченных ClickFix-атак приходят через поисковые системы, а не через электронную почту.
Claude Code устанавливается однострочной командой curl-to-bash, как Homebrew, Rust или nvm. Злоумышленники скопировали официальную страницу пиксель в пиксель. Логотип, боковая панель с документацией, рабочие ссылки. Единственное отличие скрыто внутри команды. URL ведёт не на claude.ai, а на сервер атакующего.
На macOS команда содержит base64-закодированный адрес, который скачивает и запускает бинарник через zsh. На Windows цепочка начинается с cmd.exe, вызывает mshta.exe для загрузки контента с домена claude.update-version.com и завершается через conhost.exe. После выполнения страница перенаправляет жертву на настоящий сайт Claude Code. Человек продолжает работу, не подозревая, что на машине уже работает инфостилер.
Вредоносные страницы появляются первыми в Google по запросам «Claude Code install» и «Claude Code CLI». BleepingComputer проверил это на практике. При поиске «install claude code» первым результатом оказался домен claude-code-cmd.squarespace.com на Squarespace. Точная копия документации Anthropic. Клоны размещены на Cloudflare Pages, Squarespace и Tencent EdgeOne, что затрудняет автоматическое обнаружение.
Читайте также: Инфостилер SHub Stealer распространяется через поддельный сайт CleanMyMac и подменяет криптокошельки
По данным Push Security, нагрузка (payload) совпадает с YARA-сигнатурами Amatera Stealer. Этот инфостилер крадёт пароли, куки, сессионные токены и данные криптокошельков. Amatera появился в 2025 году как эволюция ACR Stealer и продаётся по подписке. Для обхода антивирусов и EDR инфостилер использует прямые NTSockets для связи с C2, динамическое разрешение API через WoW64 Syscalls и многоступенчатые цепочки заражения. Трафик к C2-серверу идёт через IP-адреса легитимных CDN, что делает блокировку затруднительной без нарушения работы обычных сервисов.
Claude атакуют не в первый раз. В феврале 2026 года BleepingComputer описал кампанию, где публичные артефакты на домене claude.ai содержали вредоносные команды для Terminal. Более 15 000 пользователей просмотрели эти страницы. Распространялся MacSync-инфостилер. Исследователи из Moonlock Lab (подразделение MacPaw) и AdGuard обнаружили атаку независимо. В том же месяце The Hacker News сообщил о троянизированных npm-пакетах, имитирующих официальное имя Claude Code. Неделей ранее через Bing AI Search продвигались поддельные установщики OpenClaw на GitHub, раздававшие GhostSocks proxy.
InstallFix стала четвёртой волной атак на экосистему Claude за три месяца.
Читайте также: В ИИ-инструменте для разработчиков Claude Code нашли три уязвимости: удалённое выполнение кода и кража API-ключей
Независимый исследователь Maurice Fielenbach разобрал одну из страниц кампании. Он обнаружил бесфайловый имплант, доставляемый через .NET-десериализацию. Домен clavdecode.it.com продвигался через угнанный аккаунт Google Ads. Страница показывала команды для Windows CMD, Windows PowerShell и macOS одновременно.
На момент публикации ни Anthropic, ни Google не прокомментировали кампанию. Push Security опубликовала индикаторы компрометации, включая 17 клонированных доменов и три домена с нагрузкой (contatoplus.com, sarahmoftah.com, claude.update-version.com).
Устанавливать Claude Code следует только с официального сайта claude.ai/code или через npm-пакет @anthropic-ai/claude-code. Спонсорские результаты в Google не гарантируют подлинности. Перед выполнением любой curl-to-bash команды стоит проверить URL внутри неё. Если команда с подозрительного сайта уже была выполнена, все сохранённые пароли, куки и сессионные токены следует считать скомпрометированными.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
