Любите «копипастить» команды? Техника «InstallFix» заставит вас пересмотреть свои привычки
NewsMakerДоверие к официальным ресурсам превратилась в идеальную ловушку.
Злоумышленники начали активно использовать поддельные страницы установки популярных инструментов для разработчиков. Новая схема социальной инженерии строится вокруг привычной практики копирования команд из официальных инструкций. Подмена всего одной строки в такой инструкции позволяет незаметно установить вредоносную программу вместо нужного инструмента.
Команда компании Push описала технику под названием «InstallFix». Схема основана на клонировании страниц установки известных CLI-инструментов. На первый взгляд такие сайты выглядят полностью идентично оригиналам: копируется дизайн, структура документации и фирменное оформление. Единственное отличие скрыто в установочной команде. Вместо загрузки скрипта с официального домена команда обращается к серверу злоумышленников и запускает вредоносный код.
В качестве примера специалисты разобрали кампанию, направленную на пользователей инструмента Claude Code от компании Anthropic. Claude Code представляет собой ассистента для программирования, работающего через командную строку. Сервис быстро набрал популярность среди разработчиков и начинающих пользователей. Установка выполняется стандартной однострочной командой, которую достаточно скопировать с сайта и вставить в терминал.
Злоумышленники создают почти точную копию страницы установки Claude Code и размещают её на домене, внешне похожем на официальный. После перехода пользователь видит знакомую инструкцию и копирует предложенную команду. Однако команда загружает скрипт с другого сервера. Вредоносный код запускает цепочку процессов: сначала активируется cmd.exe, затем вызывается mshta.exe, который загружает и выполняет удалённый скрипт. В системе также запускается conhost.exe для обработки командной строки.
Злоумышленники начали активно использовать поддельные страницы установки популярных инструментов для разработчиков. Новая схема социальной инженерии строится вокруг привычной практики копирования команд из официальных инструкций. Подмена всего одной строки в такой инструкции позволяет незаметно установить вредоносную программу вместо нужного инструмента.
Команда компании Push описала технику под названием «InstallFix». Схема основана на клонировании страниц установки известных CLI-инструментов. На первый взгляд такие сайты выглядят полностью идентично оригиналам: копируется дизайн, структура документации и фирменное оформление. Единственное отличие скрыто в установочной команде. Вместо загрузки скрипта с официального домена команда обращается к серверу злоумышленников и запускает вредоносный код.
В качестве примера специалисты разобрали кампанию, направленную на пользователей инструмента Claude Code от компании Anthropic. Claude Code представляет собой ассистента для программирования, работающего через командную строку. Сервис быстро набрал популярность среди разработчиков и начинающих пользователей. Установка выполняется стандартной однострочной командой, которую достаточно скопировать с сайта и вставить в терминал.
Злоумышленники создают почти точную копию страницы установки Claude Code и размещают её на домене, внешне похожем на официальный. После перехода пользователь видит знакомую инструкцию и копирует предложенную команду. Однако команда загружает скрипт с другого сервера. Вредоносный код запускает цепочку процессов: сначала активируется cmd.exe, затем вызывается mshta.exe, который загружает и выполняет удалённый скрипт. В системе также запускается conhost.exe для обработки командной строки.