Claude Code のような AI を活用したコーディング アシスタントを使用する場合、常に正規のインターフェイスからコマンドをコピーしていることを確認する十分な理由があります。詐欺師は現在、人気のあるツールのクローン バージョンを使用して、偽のインストール手順 (InstallFix として知られる戦術) を通じて情報を盗むマルウェアを拡散させています。
InstallFix 攻撃に使用される偽のクロード コード インターフェイス
Push Security の研究者は、Anthropic のコマンドライン AI コーディング アシスタントである Claude Code の慎重にコピーされたバージョンを特定しました。これらは、レイアウト、ブランディング、テキスト、ドキュメントのサイドバー、および類似ドメインを備え、本物とまったく同じに見えます。ページ上のすべてのリンクは、正規の Claude Code サイトにリダイレクトされます。唯一の悪意のある部分は、macOS、Windows PowerShell、および Windows CMD 用の Claude Code をインストールする 1 行のコマンドです。これをコピーしてターミナルに貼り付けると、代わりにマルウェアが配信されます。
InstallFix は ClickFix の一種で、偽のエラー メッセージ、CAPTCHA、コマンド プロンプトを使用してユーザーが自分のデバイスにマルウェアをインストールするように仕向けるソーシャル エンジニアリング戦術です。最近、同様のキャンペーンで偽の OpenClaw インストーラーが利用されました。
現在のクロード コード スキームは、Amatera として知られる情報窃盗プログラムを使用して、Windows と Mac の両方のユーザーをターゲットにしています。このマルウェアは、システム情報だけでなく、保存されたパスワード、Cookie、セッション トークン、自動入力データ、さらには暗号通貨ウォレットや認証情報などのブラウザ データを収集する可能性があります。攻撃者は、CloudFlare Pages や Squarespace などの正規のプラットフォームで悪意のあるサイトをホストすることで、検出をさらに回避できる可能性があります。
InstallFix 攻撃を回避する方法
Push Security は、これらの偽のインストール ページがマルバタイジング、具体的には、ユーザーが「Claude Code」、「Claude Code install」、または「Claude Code CLI」などの用語を検索したときに Google でスポンサー付きの結果が表示されることによって増殖していることを発見しました。コーディング ツールやインストール手順を検索するときは特に注意し、正当性を独自に検証していない限り、電子メール、フォーラム、ソーシャル メディアの投稿やメッセージ、Web サイトからコピーしたコマンドを実行しないでください。
これまでのところどう思いますか?
Google 検索でスポンサー付きの結果を (スクロールして通り過ぎた後) 非表示にすることができます。これは、悪意のある広告を誤ってクリックしないようにするために推奨されます。検索を行う必要がないように、戻る必要があることがわかっている信頼できるソースをブックマークすることを検討してください。
最後に、URL とコマンドの両方を注意深く確認してください。脅威アクターはトリックを使用して偽の Web アドレスを一見正当なものに見せますが、詳しく検査すると、本物の Claude Code サイトにアクセスしていないことがわかります。また、テキストに隠された何かをコピーして実行していないことを確認するために、手動でコマンドを入力することもできます (この場合も、検証済みのソースからのみ)。