資安業者 Push Security 近期揭露一波鎖定 AI 程式開發工具的新型攻擊行動「
InstallFix」。
攻擊者結合惡意廣告與社交工程手法,仿製 Anthropic 旗下 Claude Code 的官方安裝頁面,誘騙開發人員執行內含惡意程式的安裝指令。
幾乎難辨真偽的假冒頁面
研究人員指出,這些偽造頁面在視覺上與 Claude Code 官方文件幾乎完全相同,包括版面配置、品牌識別以及側邊欄導覽。除了安裝指令遭到竄改之外,頁面上所有其他連結均正常導向 Anthropic 官方網站,導致受害者即使照著假頁面操作完畢,也難以察覺異狀。
攻擊者透過 Google 付費廣告將假頁面推送至搜尋結果頂端,鎖定「Claude Code install」、「Claude Code CLI」等關鍵字。海外資安媒體實測後證實,搜尋「install claude code」時,排名第一的贊助連結確實指向架設在 Squarespace 上的仿冒頁面。
InstallFix:ClickFix 的升級變體
ClickFix 透過假的錯誤訊息誘騙使用者執行惡意指令,
InstallFix 則
利用開發者的日常操作習慣:從官方說明文件複製安裝指令,然後貼到終端機執行。兩者最大的差別在於,ClickFix 偽裝成瀏覽器錯誤或系統警告訊息,InstallFix 則偽裝成正常的安裝步驟。
專家指出,過去若有人從網站複製指令直接貼進終端機執行,可能會被資深工程師當面糾正。這種做法等於交出系統控制權,讓該網站在你的電腦上為所欲為。
「
curl-to-bash」這種安裝方式已成為數百種熱門開發工具和命令列介面(CLI)工具的標準做法,Claude Code 也不例外。攻擊者正是瞄準這個環節,使此手法的威脅範圍遠超技術社群。隨著 AI 工具普及,愈來愈多非技術背景使用者也開始接觸這類安裝流程,潛在受害族群因此大幅擴張。
Amatera Stealer:鎖定憑證與加密貨幣的竊資程式
根據 Push Security 的分析,此次攻擊投遞的惡意程式為
Amatera Stealer。這是一個相對新型的竊資軟體家族,被認為源自 ACR Stealer,目前以惡意軟體即服務(MaaS)訂閱模式販售給各類網路犯罪集團。
Amatera 的攻擊能力涵蓋:
竊取瀏覽器中儲存的密碼、
Cookie 及工作階段權杖、
掃取加密貨幣錢包資訊,以及
蒐集系統資訊。該程式同時具備規避資安工具偵測的能力,並曾出現在另一波利用 Windows App-V 腳本投遞惡意酬載的 ClickFix 攻擊中。
在技術執行層面,macOS 版本的惡意指令內嵌以 Base64 編碼的下載程序,負責從攻擊者控制的伺服器拉取並執行惡意二進位檔案。Windows 版本則呼叫合法系統工具 mshta.exe 搭配 conhost.exe 來執行最終的惡意酬載,藉此降低被偵測的機率。
更值得警惕的是,這些假冒頁面並非架設在可疑的地下伺服器,而是寄生於 Cloudflare Pages、Squarespace、Tencent EdgeOne 等正規雲端平台之上,流量外觀與一般合法網站幾無差異,大幅增加了過濾與封鎖的難度。
專家表示,InstallFix 手法特別鎖定 Claude Code,部分原因在於 Claude Code 是目前成長最快的 AI 工具之一。
上週另一波攻擊同樣採用 InstallFix 手法,透過假冒 OpenClaw 安裝程式的 GitHub 儲存庫進行傳播,並利用 Bing 的 AI 增強搜尋結果提升曝光度。Push Security 已公開入侵指標(IoC),包含托管假冒頁面的網域、惡意酬載投遞網域,以及各平台的惡意安裝指令。然而,由於攻擊者持續快速更換網域,研究人員坦言這些 IoC 的實際防護效用相當有限。
延伸閱讀:剖析 ClawJacked 漏洞:惡意網站如何繞過瀏覽器限制劫持本地 OpenClaw
防護建議
- 下載開發工具前,務必確認網域是否為官方來源,切勿輕信搜尋結果頂端的贊助連結。
- 養成忽略 Google 搜尋廣告的習慣,或使用瀏覽器擴充功能封鎖廣告。
- 將常用軟體的下載頁面加入書籤,避免每次重新搜尋。
- 在終端機執行網頁上的安裝指令前,仔細檢查指令內容,確認 URL 指向可信任的網域。
- 企業環境建議部署瀏覽器威脅偵測機制,監控異常的剪貼簿操作與指令執行行為。
本文轉載自 HelpNetSecurity、BleepingComputer、DarkReading。